用 PHP 進(jìn)行 HTTP 認(rèn)證

可以用 header() 函數(shù)來向客戶端瀏覽器發(fā)送“Authentication Required”信息，使其彈出一個(gè)用戶名／密碼輸入窗口。當(dāng)用戶輸入用戶名和密碼后，包含有 URL 的 PHP 腳本將會(huì)加上預(yù)定義變量 PHP_AUTH_USER，PHP_AUTH_PW 和 AUTH_TYPE 被再次調(diào)用，這三個(gè)變量分別被設(shè)定為用戶名，密碼和認(rèn)證類型。預(yù)定義變量保存在 $_SERVER 數(shù)組中。僅支持 “Basic” 和 “Digest” 認(rèn)證方法。請(qǐng)參閱 header() 函數(shù)以獲取更多信息。

以下是在頁面上強(qiáng)迫客戶端認(rèn)證的腳本范例：

示例 #1 Basic HTTP 認(rèn)證范例


<?php
  if (!isset($_SERVER['PHP_AUTH_USER'])) {
    header('WWW-Authenticate: Basic realm="My Realm"');
    header('HTTP/1.0 401 Unauthorized');
    echo 'Text to send if user hits Cancel button';
    exit;
  } else {
    echo "<p>Hello {$_SERVER['PHP_AUTH_USER']}.</p>";
    echo "<p>You entered {$_SERVER['PHP_AUTH_PW']} as your password.</p>";
  }
?>

示例 #2 Digest HTTP 認(rèn)證范例

本例演示怎樣實(shí)現(xiàn)一個(gè)簡(jiǎn)單的 Digest HTTP 認(rèn)證腳本。更多信息請(qǐng)參考 ? RFC 2617。


<?php
$realm = 'Restricted area';

//user => password
$users = array('admin' => 'mypass', 'guest' => 'guest');


if (empty($_SERVER['PHP_AUTH_DIGEST'])) {
    header('HTTP/1.1 401 Unauthorized');
    header('WWW-Authenticate: Digest realm="'.$realm.
           '",qop="auth",nonce="'.uniqid().'",opaque="'.md5($realm).'"');

    die('Text to send if user hits Cancel button');
}


// analyze the PHP_AUTH_DIGEST variable
if (!($data = http_digest_parse($_SERVER['PHP_AUTH_DIGEST'])) ||
    !isset($users[$data['username']]))
    die('Wrong Credentials!');


// generate the valid response
$A1 = md5($data['username'] . ':' . $realm . ':' . $users[$data['username']]);
$A2 = md5($_SERVER['REQUEST_METHOD'].':'.$data['uri']);
$valid_response = md5($A1.':'.$data['nonce'].':'.$data['nc'].':'.$data['cnonce'].':'.$data['qop'].':'.$A2);

if ($data['response'] != $valid_response)
    die('Wrong Credentials!');

// ok, valid username & password
echo 'You are logged in as: ' . $data['username'];


// function to parse the http auth header
function http_digest_parse($txt)
{
    // protect against missing data
    $needed_parts = array('nonce'=>1, 'nc'=>1, 'cnonce'=>1, 'qop'=>1, 'username'=>1, 'uri'=>1, 'response'=>1);
    $data = array();
    $keys = implode('|', array_keys($needed_parts));

    preg_match_all('@(' . $keys . ')=(?:([\'"])([^\2]+?)\2|([^\s,]+))@', $txt, $matches, PREG_SET_ORDER);

    foreach ($matches as $m) {
        $data[$m[1]] = $m[3] ? $m[3] : $m[4];
        unset($needed_parts[$m[1]]);
    }

    return $needed_parts ? false : $data;
}
?>

注意: 兼容性問題

在編寫 HTTP 標(biāo)頭代碼時(shí)請(qǐng)格外小心。為了對(duì)所有的客戶端保證兼容性，關(guān)鍵字“Basic”的第一個(gè)字母必須大寫為“B”，分界字符串必須用雙引號(hào)（不是單引號(hào)）引用；并且在標(biāo)頭行 HTTP/1.0 401 中，在 401 前必須有且僅有一個(gè)空格。

在以上例子中，僅僅只打印出了 PHP_AUTH_USER 和 PHP_AUTH_PW 的值，但在實(shí)際運(yùn)用中，可能需要對(duì)用戶名和密碼的合法性進(jìn)行檢查?；蛟S進(jìn)行數(shù)據(jù)庫(kù)的查詢，或許從 dbm 文件中檢索。

注意有些 Internet Explorer 瀏覽器本身有問題。它對(duì)標(biāo)頭的順序顯得似乎有點(diǎn)吹毛求疵。目前看來在發(fā)送 HTTP/1.0 401 之前先發(fā)送 WWW-Authenticate 標(biāo)頭似乎可以解決此問題。

注意: 配置說明

PHP 用是否有 AuthType 指令來判斷外部認(rèn)證機(jī)制是否有效。

注意，這仍然不能防止有人通過未認(rèn)證的 URL 來從同一服務(wù)器上認(rèn)證的 URL 上偷取密碼。

Netscape Navigator 和 Internet Explorer 瀏覽器都會(huì)在收到 401 的服務(wù)端返回信息時(shí)清空所有的本地瀏覽器整個(gè)域的 Windows 認(rèn)證緩存。這能夠有效的注銷一個(gè)用戶，并迫使他們重新輸入他們的用戶名和密碼。有些人用這種方法來使登錄狀態(tài)“過期”，或者作為“注銷”按鈕的響應(yīng)行為。

示例 #3 強(qiáng)迫重新輸入用戶名和密碼的 HTTP 認(rèn)證的范例


<?php
  function authenticate() {
    header('WWW-Authenticate: Basic realm="Test Authentication System"');
    header('HTTP/1.0 401 Unauthorized');
    echo "You must enter a valid login ID and password to access this resource\n";
    exit;
  }

  if (!isset($_SERVER['PHP_AUTH_USER']) ||
      ($_POST['SeenBefore'] == 1 && $_POST['OldAuth'] == $_SERVER['PHP_AUTH_USER'])) {
   authenticate();
  }
  else {
   echo "<p>Welcome: {$_SERVER['PHP_AUTH_USER']}<br />";
   echo "Old: {$_REQUEST['OldAuth']}";
   echo "<form action='{$_SERVER['PHP_SELF']}' METHOD='post'>\n";
   echo "<input type='hidden' name='SeenBefore' value='1' />\n";
   echo "<input type='hidden' name='OldAuth' value='{$_SERVER['PHP_AUTH_USER']}' />\n";
   echo "<input type='submit' value='Re Authenticate' />\n";
   echo "</form></p>\n";
  }

該行為對(duì)于 HTTP 的 Basic 認(rèn)證標(biāo)準(zhǔn)來說并不是必須的，因此不能依靠這種方法。對(duì) Lynx 瀏覽器的測(cè)試表明 Lynx 在收到 401 的服務(wù)端返回信息時(shí)不會(huì)清空認(rèn)證文件，因此只要對(duì)認(rèn)證文件的檢查要求沒有變化，只要用戶點(diǎn)擊“后退”按鈕，再點(diǎn)擊“前進(jìn)”按鈕，其原有資源仍然能夠被訪問。不過，用戶可以通過按“_”鍵來清空他們的認(rèn)證信息。

為了能夠使HTTP工作在 IIS 服務(wù)器的 CGI 模式下。你需要編輯 IIS的設(shè)置“目錄安全”。點(diǎn)擊“編輯”并且只選擇“匿名訪問”，其它所有的復(fù)選框都應(yīng)該留空。

注意: IIS 注意事項(xiàng)
要 HTTP 認(rèn)證能夠在 IIS 下工作，PHP 配置選項(xiàng) cgi.rfc2616_headers 必須設(shè)置成 0（默認(rèn)值）。