Ich entwickle zusammen mit einem Kollegen gerade einen kleinen Webdienst. Clientseitig wird (im Browser natürlich) etwas JavaScript ausgeführt, das ist im Wesentlichen ein Viewer bzw. eine Designer, mit welchem der User das zu lösende Problem zusammenklickt. Bei bestimmten Events (z.B. Klick auf den Button "Lösen") wird ein (serverseitiges) PHP-Skript aufgerufen, welches das Ergebnis zurückschickt. So weit, so normal.
Da das Ganze mit einem Obolus verbunden sein soll, dachten wir, dass wir den ganzen Krempel hinter ein Login-System sperren. Das könnte beispielsweise so laufen, dass (nach Zahlung des Obolus) wir einen Nutzeraccount mit Standardpasswort einrichten und zumailen (das Ganze muss nicht unbedingt hochautomatisiert sein, wir werden nur einige wenige Nutzer haben), der User sich damit erstmalig einloggt, das Passwort ändert usw. Kennt man ja. Es sollte eine Funktionalität für "Passwort vergessen" geben (vielleicht wird dabei ein Passwort-Reset-Link an die verknüpfte E-Mail-Adresse geschickt), Username und Passwort-Hash möglichst nicht hackbar in einer Datenbank gespeichert werden, und natürlich sollte es einigermaßen sicher sein, d.h. ohne Login gibt's weder das Dashboard zu sehen (der JavaScript-Viewer), noch sollte der PHP-Server Requests akzeptieren.
Da man sicherheitsrelevante Features nicht selbst implementieren soll (ist uns auch zuviel Arbeit, lohnt sich dafür gar nicht) und wir sicher nicht die ersten mit diesem Problem sind, suchen wir nach einer fertigen und möglichst einfachen Lösung. Gern kostenlos oder zumindest preisgünstig, wir werden mit unserem Dienst so oder so nicht reich... Mit Google finde ich z.B. das oder das. Bin ich da auf der richtigen Fährte? Oder sagt Ihr spontan: "Ja, nimm XYZ: Kann alles, kost' nix"?
Da das Ganze mit einem Obolus verbunden sein soll, dachten wir, dass wir den ganzen Krempel hinter ein Login-System sperren. Das könnte beispielsweise so laufen, dass (nach Zahlung des Obolus) wir einen Nutzeraccount mit Standardpasswort einrichten und zumailen (das Ganze muss nicht unbedingt hochautomatisiert sein, wir werden nur einige wenige Nutzer haben), der User sich damit erstmalig einloggt, das Passwort ändert usw. Kennt man ja. Es sollte eine Funktionalität für "Passwort vergessen" geben (vielleicht wird dabei ein Passwort-Reset-Link an die verknüpfte E-Mail-Adresse geschickt), Username und Passwort-Hash möglichst nicht hackbar in einer Datenbank gespeichert werden, und natürlich sollte es einigermaßen sicher sein, d.h. ohne Login gibt's weder das Dashboard zu sehen (der JavaScript-Viewer), noch sollte der PHP-Server Requests akzeptieren.
Da man sicherheitsrelevante Features nicht selbst implementieren soll (ist uns auch zuviel Arbeit, lohnt sich dafür gar nicht) und wir sicher nicht die ersten mit diesem Problem sind, suchen wir nach einer fertigen und möglichst einfachen Lösung. Gern kostenlos oder zumindest preisgünstig, wir werden mit unserem Dienst so oder so nicht reich... Mit Google finde ich z.B. das oder das. Bin ich da auf der richtigen Fährte? Oder sagt Ihr spontan: "Ja, nimm XYZ: Kann alles, kost' nix"?