Hallo zusammen ich habe folgendes Problem:
Benutzer A darf bestimmte Dokumente lesen, aber nicht bearbeiten (im Web)
Benutzer B darf alles
Benutzer A öffnet die DB im Browser und meldet sich an (mit basic auth)
Er arbeitet in der DB und irgendwann öffnet er ein Dokument mit ...?EditDocument (Schaltfläche in der Ansicht) welches er aber nicht bearbeiten darf
-> Der Anmeldedialog des Browsers poppt auf, welchen er nur mit "abbrechen" weg bekommt, da A mit seinem Passwort die Berechtigung nicht hat (Würde man hier das Passwort von B eingeben könnte man das Dokument bearbeiten)
Durch Klick auf "abbrechen" sieht es für den Browser nun so aus, als wäre er ausgeloggt.
Das ist ziemlich "blöd" weil er nun nichts mehr zck kann bis er irgendwann sein richtiges Passwort eingibt.
Frage: Kann man dieses Verhalten irgendwie verhindern? Stelle mir das so vor:
Wenn man bereits authentifiziert ist, dann soll beim Ausführen einer nicht erlaubten Aktion eine "das darfst du nicht" Meldung kommen, anstatt nach Zugangsdaten für einen anderen Benutzer zu fragen.
Hab schon ein wenig mit session-based Authentifizierung rum probiert, da scheint das Problem in der Art nicht aufzutreten, allerdings habe ich da die Befürchtung, dass ich in meine Ajax-Calls eine Überprüfung einbauen muss, ob hier nicht die Login-Maske zurück kommt (oder kann man Basic-Auth per URL erzwingen, möchte bei einem Ajax-Call jedenfalls NIE die Loginmaske bekommen, lieber wäre mir ein 401-Unauthorized)
Gruß
Roland
Thema: erneuter Login im Web bei fehlender Berechtigung (Gelesen 2851 mal)