用 PHP 進行 HTTP 認證

PHP 的 HTTP 認證機制僅在 PHP 以 Apache 模塊方式運行時纔有效，所以該功能不適用於 CGI 版本。在 Apache 模塊的 PHP 腳本中，能夠用 header() 函數來向客戶端瀏覽器發送「Authentication Required」信息，使其彈出一個用戶名／密碼輸入窗口。當用戶輸入用戶名和密碼後，包含有 URL 的 PHP 腳本將會加上預約義變量PHP_AUTH_USER，PHP_AUTH_PW 和 AUTH_TYPE 被再次調用，這三個變量分別被設定爲用戶名，密碼和認證類型。預約義變量保存在 $_SERVER 或者$HTTP_SERVER_VARS 數組中。支持「Basic」和「Digest」（自 PHP 5.1.0 起）認證方法。請參閱 header() 函數以獲取更多信息。

Note: PHP 版本問題

Autoglobals 全局變量，包括 $_SERVER等，自 PHP » 4.1.0 起有效，$HTTP_SERVER_VARS 從 PHP 3 開始有效。

如下是在頁面上強迫客戶端認證的腳本範例：

Example #1 Basic HTTP 認證範例

<?php if (!isset($_SERVER['PHP_AUTH_USER'])) { header('WWW-Authenticate: Basic realm="My Realm"'); header('HTTP/1.0 401 Unauthorized'); echo 'Text to send if user hits Cancel button'; exit; } else { echo "<p>Hello {$_SERVER['PHP_AUTH_USER']}.</p>"; echo "<p>You entered {$_SERVER['PHP_AUTH_PW']} as your password.</p>"; } ?>

Example #2 Digest HTTP 認證範例

本例演示怎樣實現一個簡單的 Digest HTTP 認證腳本。更多信息請參考 » RFC 2617。

<?php
$realm = 'Restricted area';

//user => password
$users = array('admin' => 'mypass', 'guest' => 'guest');


if (empty($_SERVER['PHP_AUTH_DIGEST'])) {
    header('HTTP/1.1 401 Unauthorized');
    header('WWW-Authenticate: Digest realm="'.$realm.
           '" qop="auth" nonce="'.uniqid().'" opaque="'.md5($realm).'"');

    die('Text to send if user hits Cancel button');
}


// analyze the PHP_AUTH_DIGEST variable
if (!($data = http_digest_parse($_SERVER['PHP_AUTH_DIGEST'])) ||
    !isset($users[$data['username']]))
    die('Wrong Credentials!');


// generate the valid response
$A1 = md5($data['username'] . ':' . $realm . ':' . $users[$data['username']]);
$A2 = md5($_SERVER['REQUEST_METHOD'].':'.$data['uri']);
$valid_response = md5($A1.':'.$data['nonce'].':'.$data['nc'].':'.$data['cnonce'].':'.$data['qop'].':'.$A2);

if ($data['response'] != $valid_response)
    die('Wrong Credentials!');

// ok, valid username & password
echo 'Your are logged in as: ' . $data['username'];


// function to parse the http auth header
function http_digest_parse($txt)
{
    // protect against missing data
    $needed_parts = array('nonce'=>1, 'nc'=>1, 'cnonce'=>1, 'qop'=>1, 'username'=>1, 'uri'=>1, 'response'=>1);
    $data = array();

    preg_match_all('@(\w+)=([\'"]?)([a-zA-Z0-9=./\_-]+)\2@', $txt, $matches, PREG_SET_ORDER);

    foreach ($matches as $m) {
        $data[$m[1]] = $m[3];
        unset($needed_parts[$m[1]]);
    }

    return $needed_parts ? false : $data;
}
?>

Note: 兼容性問題

在編寫 HTTP 標頭代碼時請格外當心。爲了對全部的客戶端保證兼容性，關鍵字「Basic」的第一個字母必須大寫爲「B」，分界字符串必須用雙引號（不是單引號）引用；而且在標頭行 HTTP/1.0 401 中，在 401 前必須有且僅有一個空格。

在以上例子中，僅僅只打印出了 PHP_AUTH_USER 和 PHP_AUTH_PW 的值，但在實際運用中，可能須要對用戶名和密碼的合法性進行檢查。或許進行數據庫的查詢，或許從 dbm 文件中檢索。

注意有些 Internet Explorer 瀏覽器自己有問題。它對標頭的順序顯得彷佛有點吹毛求疵。目前看來在發送 HTTP/1.0 401 以前先發送 WWW-Authenticate 標頭彷佛能夠解決此問題。

自 PHP 4.3.0 起，爲了防止有人經過編寫腳原本從用傳統外部機制認證的頁面上獲取密碼，當外部認證對特定頁面有效，而且安全模式被開啓時，PHP_AUTH 變量將不會被設置。但不管如何，REMOTE_USER 能夠被用來辨認外部認證的用戶，所以能夠用 $_SERVER['REMOTE_USER'] 變量。

Note: 配置說明

PHP 用是否有 AuthType 指令來判斷外部認證機制是否有效。

注意，這仍然不能防止有人經過未認證的 URL 來從同一服務器上認證的 URL 上偷取密碼。

Netscape Navigator 和 Internet Explorer 瀏覽器都會在收到 401 的服務端返回信息時清空全部的本地瀏覽器整個域的 Windows 認證緩存。這可以有效的註銷一個用戶，並迫使他們從新輸入他們的用戶名和密碼。有些人用這種方法來使登陸狀態「過時」，或者做爲「註銷」按鈕的響應行爲。

Example #3 強迫從新輸入用戶名和密碼的 HTTP 認證的範例

<?php function authenticate() { header('WWW-Authenticate: Basic realm="Test Authentication System"'); header('HTTP/1.0 401 Unauthorized'); echo "You must enter a valid login ID and password to access this resource\n"; exit; } if (!isset($_SERVER['PHP_AUTH_USER']) || ($_POST['SeenBefore'] == 1 && $_POST['OldAuth'] == $_SERVER['PHP_AUTH_USER'])) { authenticate(); } else { echo "<p>Welcome: {$_SERVER['PHP_AUTH_USER']}<br />"; echo "Old: {$_REQUEST['OldAuth']}"; echo "<form action='{$_SERVER['PHP_SELF']}' METHOD='post'>\n"; echo "<input type='hidden' name='SeenBefore' value='1' />\n"; echo "<input type='hidden' name='OldAuth' value='{$_SERVER['PHP_AUTH_USER']}' />\n"; echo "<input type='submit' value='Re Authenticate' />\n"; echo "</form></p>\n"; }

該行爲對於 HTTP 的 Basic 認證標準來講並非必須的，所以不能依靠這種方法。對 Lynx 瀏覽器的測試代表 Lynx 在收到 401 的服務端返回信息時不會清空認證文件，所以只要對認證文件的檢查要求沒有變化，只要用戶點擊「後退」按鈕，再點擊「前進」按鈕，其原有資源仍然可以被訪問。不過，用戶能夠經過按「_」鍵來清空他們的認證信息。

同時請注意，在 PHP 4.3.3 以前，因爲微軟 IIS 的限制，HTTP 認證沒法工做在 IIS 服務器的 CGI 模式下。爲了可以使其在 PHP 4.3.3 以上版本可以工做，須要編輯 IIS 的設置「目錄安全」。點擊「編輯」而且只選擇「匿名訪問」，其它全部的複選框都應該留空。

另外一個限制是在 IIS 的 ISAPI 模式下使用 PHP 4 的時候，沒法使用 PHP_AUTH_* 變量，而只能使用 HTTP_AUTHORIZATION。例如，考慮以下代碼：list($user, $pw) = explode(':', base64_decode(substr($_SERVER['HTTP_AUTHORIZATION'], 6)));。

Note: IIS 注意事項
要 HTTP 認證可以在 IIS 下工做，PHP 配置選項 cgi.rfc2616_headers 必須設置成 0（默認值）。