用 PHP 進行 HTTP 認證
可以用 header()
函式來向客戶端瀏覽器發送「Authentication
Required」資訊,使其彈出一個使用者名稱/密碼輸入視窗。當用戶輸入使用者名稱和密碼后,包含有
URL 的 PHP 指令碼將會加上預定義變數
PHP_AUTH_USER,PHP_AUTH_PW 和
AUTH_TYPE
被再次呼叫,這三個變數分別被設定為使用者名稱,密碼和認證型別。預定義變數儲存在
$_SERVER 陣列中。僅 支援 「Basic」 和 「Digest」 認證方法。
請參閱 header() 函式以獲取更多資訊。
以下是在頁面上強迫客戶端認證的指令碼範例:
示例 #1 Basic HTTP 認證範例
<?php
if (!isset($_SERVER['PHP_AUTH_USER'])) {
header('WWW-Authenticate: Basic realm="My Realm"');
header('HTTP/1.0 401 Unauthorized');
echo 'Text to send if user hits Cancel button';
exit;
} else {
echo "<p>Hello {$_SERVER['PHP_AUTH_USER']}.</p>";
echo "<p>You entered {$_SERVER['PHP_AUTH_PW']} as your password.</p>";
}
?>
示例 #2 Digest HTTP 認證範例
本例演示怎樣實現一個簡單的 Digest HTTP 認證指令碼。更多資訊請參考 » RFC 2617。
<?php
$realm = 'Restricted area';
//user => password
$users = array('admin' => 'mypass', 'guest' => 'guest');
if (empty($_SERVER['PHP_AUTH_DIGEST'])) {
header('HTTP/1.1 401 Unauthorized');
header('WWW-Authenticate: Digest realm="'.$realm.
'",qop="auth",nonce="'.uniqid().'",opaque="'.md5($realm).'"');
die('Text to send if user hits Cancel button');
}
// analyze the PHP_AUTH_DIGEST variable
if (!($data = http_digest_parse($_SERVER['PHP_AUTH_DIGEST'])) ||
!isset($users[$data['username']]))
die('Wrong Credentials!');
// generate the valid response
$A1 = md5($data['username'] . ':' . $realm . ':' . $users[$data['username']]);
$A2 = md5($_SERVER['REQUEST_METHOD'].':'.$data['uri']);
$valid_response = md5($A1.':'.$data['nonce'].':'.$data['nc'].':'.$data['cnonce'].':'.$data['qop'].':'.$A2);
if ($data['response'] != $valid_response)
die('Wrong Credentials!');
// ok, valid username & password
echo 'You are logged in as: ' . $data['username'];
// function to parse the http auth header
function http_digest_parse($txt)
{
// protect against missing data
$needed_parts = array('nonce'=>1, 'nc'=>1, 'cnonce'=>1, 'qop'=>1, 'username'=>1, 'uri'=>1, 'response'=>1);
$data = array();
$keys = implode('|', array_keys($needed_parts));
preg_match_all('@(' . $keys . ')=(?:([\'"])([^\2]+?)\2|([^\s,]+))@', $txt, $matches, PREG_SET_ORDER);
foreach ($matches as $m) {
$data[$m[1]] = $m[3] ? $m[3] : $m[4];
unset($needed_parts[$m[1]]);
}
return $needed_parts ? false : $data;
}
?>
注意: 相容性問題
在編寫 HTTP 標頭程式碼時請格外小心。爲了對所有的客戶端保證相容性,關鍵字「Basic」的第一個字母必須大寫為「B」,分界字串必須用雙引號(不是單引號)引用;並且在標頭行 HTTP/1.0 401 中,在 401 前必須有且僅有一個空格。
在以上例子中,僅僅只列印出了 PHP_AUTH_USER 和 PHP_AUTH_PW 的值,但在實際運用中,可能需要對使用者名稱和密碼的合法性進行檢查。或許進行數據庫的查詢,或許從 dbm 檔案中檢索。
注意有些 Internet Explorer
瀏覽器本身有問題。它對標頭的順序顯得似乎有點吹毛求疵。目前看來在發送
HTTP/1.0 401 之前先發送
WWW-Authenticate 標頭似乎可以解決此問題。
注意: 配置說明
PHP 用是否有
AuthType指令來判斷外部認證機制是否有效。
注意,這仍然不能防止有人通過未認證的 URL 來從同一伺服器上認證的 URL 上偷取密碼。
Netscape Navigator 和 Internet Explorer 瀏覽器都會在收到 401 的服務端返回資訊時清空所有的本地瀏覽器整個域的 Windows 認證快取。這能夠有效的註銷一個使用者,並迫使他們重新輸入他們的使用者名稱和密碼。有些人用這種方法來使登錄狀態「過期」,或者作為「註銷」按鈕的響應行為。
示例 #3 強迫重新輸入使用者名稱和密碼的 HTTP 認證的範例
<?php
function authenticate() {
header('WWW-Authenticate: Basic realm="Test Authentication System"');
header('HTTP/1.0 401 Unauthorized');
echo "You must enter a valid login ID and password to access this resource\n";
exit;
}
if (!isset($_SERVER['PHP_AUTH_USER']) ||
($_POST['SeenBefore'] == 1 && $_POST['OldAuth'] == $_SERVER['PHP_AUTH_USER'])) {
authenticate();
}
else {
echo "<p>Welcome: {$_SERVER['PHP_AUTH_USER']}<br />";
echo "Old: {$_REQUEST['OldAuth']}";
echo "<form action='{$_SERVER['PHP_SELF']}' METHOD='post'>\n";
echo "<input type='hidden' name='SeenBefore' value='1' />\n";
echo "<input type='hidden' name='OldAuth' value='{$_SERVER['PHP_AUTH_USER']}' />\n";
echo "<input type='submit' value='Re Authenticate' />\n";
echo "</form></p>\n";
}
該行為對於 HTTP 的 Basic 認證標準來說並不是必須的,因此不能依靠這種方法。對 Lynx 瀏覽器的測試表明 Lynx 在收到 401 的服務端返回資訊時不會清空認證檔案,因此只要對認證檔案的檢查要求沒有變化,只要使用者點選「後退」按鈕,再點選「前進」按鈕,其原有資源仍然能夠被訪問。不過,使用者可以通過按「_」鍵來清空他們的認證資訊。
爲了能夠使HTTP工作在 IIS 伺服器的 CGI 模式下。
你需要編輯 IIS的設定「目錄安全」。點選「編輯」並且只選擇「匿名訪問」,其它所有的覈取方塊都應該留空。
注意: IIS 注意事項
要 HTTP 認證能夠在 IIS 下工作,PHP 配置選項 cgi.rfc2616_headers 必須設定成0(預設值)。