Багровый auth php. HTTP Установка защиты на страницу используя MySQL и PHP
Буквально вчера я решил приступить к разработке личного кабинете одного безымянного сайта. Передо мной встал вопрос по поводу внешнего вида формы авторизации, мне, откровенно, не хотелось заниматься дизайном формы, делать всплывающие подсказки, да и в целом уделять огромное внимание форме. Я сдуру ринулся искать готовые решения, увидел достаточно безвкусных форм. Думал подыскать какой-нибудь готовый компонент, готовое расширение, но в большинстве своём они разочаровали меня. Блуждая по форумам, мне показалось интересным разыграть карту с HTTP Authentication: Basic. Я отправился читать мануал, прежде был недостаточно осведомлён об данном способе. Далее и начались проблемы.Деваться было некуда, пошастал по сети в поисках сайтов, что возьмутся генерировать формы, код, стили. Тщетны оказались мои попытки облегчить себе задачу. Выход невелик, я приступил к разрешению проблемы. Одно время я старался сварганить решение с помощью.htaccess, нашел такое.
RewriteCond %{HTTP:Authorization} ^Basic.* RewriteRule (.*) index.php?authorization=%{HTTP:Authorization}
Увы, у меня возникли проблемы с Joomla, у неё и так всё неплохо в.htaccess, а тут я еще со своим кодом. Уделив время на перебор различных комбинаций, я согласился с тем, что переписывать.htaccess я не буду. С начала код был очень сырым, настолько сырым, что я только-только его скопипастил.
Hello {$_SERVER["PHP_AUTH_USER"]}.
"; echo "Вы ввели пароль {$_SERVER["PHP_AUTH_PW"]}.
"; } ?>Замечательно работает, а передо мной стояла цель реализовать авторизацию с помощью использования уже существующих кодовых слов, что расположены в таблице.
get("user") === null) { $db = JFactory::getDbo(); $query = $db->getQuery(true); $query->select("*"); $query->from("#__beda_users"); $query->where("codeword = ".$query->quote($_SERVER["PHP_AUTH_PW"])); if($res = $db->setQuery($query)->loadAssoc()) { $session->set("user", $res); } else { header("WWW-Authenticate: Basic realm="My Realm""); header("HTTP/1.0 401 Unauthorized"); } } else { //Нам бы сюда } } ?>
Работает, значения меняются, сессия создаётся. Замечательно, но в случае с кликом на отмену, значения плевать хотели, что ты отменил, после обновления страницы, возвращаются на место. Я решил, что бороться следует с этим через unset . Я добавил строчку.
If($res = $db->setQuery($query)->loadAssoc()) { $session->set("user", $res); } else { unset($_SERVER["PHP_AUTH_USER"], $_SERVER["PHP_AUTH_PW"]); header("WWW-Authenticate: Basic realm="My Realm""); header("HTTP/1.0 401 Unauthorized"); }
Я старался совладать с этими переменными, но всё глубже уходил в никуда. Устраивал и проверку существования сессии, но тщетно. К тому же мне требовалось сделать завершение сессии, что с слов форумчан мало представляется возможным. Докопался до истины использования адреса вида login :pass@locahost/. Замечательно, переменные изменились $_SERVER["PHP_AUTH_USER"], $_SERVER["PHP_AUTH_PW"] . Увы, но это не стало моим окончательным решением, поскольку после окончания времени сессии $_SERVER["PHP_AUTH_USER"], $_SERVER["PHP_AUTH_PW"] продолжали исполнять. Как и после принудительно присваивания $session->set("user", null). Я вне себя от гнева, но знал, что не прощу себе, если позволю отступиться. Я написал отдельное условие для проверки на логаут.
If($_SERVER["PHP_AUTH_USER"]=="logout"){ $session->set("user", null); header("Refresh: 0;URL="); } if(!isset($_SERVER["PHP_AUTH_PW"])) { header("WWW-Authenticate: Basic realm="My Realm""); header("HTTP/1.0 401 Unauthorized"); } else { //В случае с обнаружением подходящего codeword - создаём сессию if($session->get("user") === null) { $db = JFactory::getDbo(); $query = $db->getQuery(true); $query->select("*"); $query->from("#__beda_users"); $query->where("codeword = ".$query->quote($_SERVER["PHP_AUTH_PW"])); if($res = $db->setQuery($query)->loadAssoc()) { $session->set("user", $res); } else { unset($_SERVER["PHP_AUTH_USER"], $_SERVER["PHP_AUTH_PW"]); header("WWW-Authenticate: Basic realm="My Realm""); header("HTTP/1.0 401 Unauthorized"); } } else { //Нам бы сюда } }
Условие сработало, однако после перезагрузки страницы, когда появляется окно с требованием ввести имя пользователя и пароль , оно их приняло, да после обновление страницы, он предложил мне еще раз ввести пароль, нажму «Отмена», $_SERVER["PHP_AUTH_USER"] будет logout. Обновлю значения, он присвоит их. А нажму на отмену от вернёт прежние значения. Беда .
В конце концов окончательное решение выглядит так.
$session = JFactory::getSession(); function http_auth($session){ $session->set("user", null); unset($_SERVER["PHP_AUTH_PW"], $_SERVER["PHP_AUTH_USER"]); header("WWW-Authenticate: Basic realm="Auth""); header("HTTP/1.0 401 Unauthorized"); } if($_SERVER["PHP_AUTH_USER"]=="logout"){ $session->set("user", null); header("Refresh: 0;URL="); } if($session->get("user") === null){ if(!isset($_SERVER["PHP_AUTH_PW"])){ http_auth($session); } else { $pw = $_SERVER["PHP_AUTH_PW"]; $db = JFactory::getDbo(); $query = $db->getQuery(true); $query->select("*"); $query->from("#__beda_users"); $query->where("codeword = ".$query->quote($pw)); if($res = $db->setQuery($query)->loadAssoc()){ $session->set("user", $res); } else { http_auth($session); } } } else { if(!isset($_SERVER["PHP_AUTH_PW"])){ http_auth($session); } }
Возможно использовать функцию header() для отправки сообщения "Authentication Required" браузеру, заставив его показать окошко для ввода логина и пароля. Как только пользователь заполнит логин и пароль, ссылка, содержащая PHP-скрипт будет вызвана еще раз с предопределенными переменными PHP_AUTH_USER , PHP_AUTH_PW , и AUTH_TYPE , установленными в логин, пароль и тип аутентификации соответственно. Эти предопределенные переменные хранятся в массивах $_SERVER и $HTTP_SERVER_VARS . Поддерживаются оба типа: "Basic" и "Digest" (начиная с версии PHP 5.1.0). Подробнее смотрите функцию header() .
Пример фрагмента скрипта, который вынуждает клиента авторизоваться для просмотра страницы:
Пример #1 Пример Basic HTTP-аутентификации
if (!isset($_SERVER
[
"PHP_AUTH_USER"
])) {
header
("WWW-Authenticate: Basic realm="My Realm""
);
echo
"Текст, отправляемый в том случае,
если пользователь нажал кнопку Cancel"
;
exit;
} else {
echo
"
Hello { $_SERVER [ "PHP_AUTH_USER" ]} .
" ;echo "
Вы ввели пароль
{ $_SERVER [ "PHP_AUTH_PW" ]} ." ;}
?>
Пример #2 Пример Digest HTTP-аутентификации
Это пример реализации простого скрипта Digest HTTP-аутентификации. За подробностями обращайтесь к » RFC 2617 .
$realm = "Запретная зона" ;
//user => password
$users
= array("admin"
=>
"mypass"
,
"guest"
=>
"guest"
);
if (empty($_SERVER
[
"PHP_AUTH_DIGEST"
])) {
header
("HTTP/1.1 401 Unauthorized"
);
header
("WWW-Authenticate: Digest realm=""
.
$realm
.
"",qop="auth",nonce=""
.
uniqid
().
"",opaque=""
.
md5
($realm
).
"""
);
Die("Текст, отправляемый в том случае, если пользователь нажал кнопку Cancel"
);
}
// анализируем переменную PHP_AUTH_DIGEST
if (!($data
=
http_digest_parse
($_SERVER
[
"PHP_AUTH_DIGEST"
])) ||
!isset($users
[
$data
[
"username"
]]))
die("Неправильные данные!"
);
// генерируем корректный ответ
$A1
=
md5
($data
[
"username"
] .
":"
.
$realm
.
":"
.
$users
[
$data
[
"username"
]]);
$A2
=
md5
($_SERVER
[
"REQUEST_METHOD"
].
":"
.
$data
[
"uri"
]);
$valid_response
=
md5
($A1
.
":"
.
$data
[
"nonce"
].
":"
.
$data
[
"nc"
].
":"
.
$data
[
"cnonce"
].
":"
.
$data
[
"qop"
].
":"
.
$A2
);
if ($data
[
"response"
] !=
$valid_response
)
die("Неправильные данные!"
);
// ok, логин и пароль верны
echo
"Вы вошли как: "
.
$data
[
"username"
];
// функция разбора заголовка http auth
function
http_digest_parse
($txt
)
{
// защита от отсутствующих данных
$needed_parts
= array("nonce"
=>
1
,
"nc"
=>
1
,
"cnonce"
=>
1
,
"qop"
=>
1
,
"username"
=>
1
,
"uri"
=>
1
,
"response"
=>
1
);
$data
= array();
$keys
=
implode
("|"
,
array_keys
($needed_parts
));
Preg_match_all ("@(" . $keys . ")=(?:([\""])([^\2]+?)\2|([^\s,]+))@" , $txt , $matches , PREG_SET_ORDER );
Foreach ($matches
as
$m
) {
$data
[
$m
[
1
]] =
$m
[
3
] ?
$m
[
3
] :
$m
[
4
];
unset($needed_parts
[
$m
[
1
]]);
}
Return
$needed_parts
?
false
:
$data
;
}
?>
Замечание : Замечание касательно совместимости
Будьте особенно внимательны при указании HTTP-заголовков. Для того, чтобы гарантировать максимальную совместимость с наибольшим количеством различных клиентов, слово "Basic" должно быть написано с большой буквы "B", регион (realm) должен быть взят в двойные (не одинарные!) кавычки, и ровно один пробел должен предшествовать коду 401 в заголовке HTTP/1.0 401 . Параметры аутентификации должны разделяться запятыми, как это было показано в примере Digest аутентификации выше.
Вместо простого отображения на экране переменных PHP_AUTH_USER и PHP_AUTH_PW , вам, возможно, понадобится проверить их корректность. Используйте для этого запрос к базе данных или поиск пользователя в dbm-файле.
Вы можете пронаблюдать особенности работы браузера Internet Explorer. Он очень требователен к параметру передаваемых заголовков. Трюк с указанием заголовка WWW-Authenticate перед отправкой статуса HTTP/1.0 401 пока что работает для него.
Для того, чтобы предотвратить написание кем-либо скрипта, раскрывающего пароль к странице, которая использует внешнюю аутентификацию, переменные PHP_AUTH не устанавливаются в случае, если данная страница использует внешнюю аутентификацию и установлен безопасный режим . Несмотря на это, переменная REMOTE_USER может использоваться для аутентификации пользователя, прошедшего внешнюю аутентификацию. Таким образом, вы всегда можете воспользоваться переменной $_SERVER["REMOTE_USER"] .
Замечание : Замечание касательно конфигурации
PHP использует указание директивы AuthType для указания того, используется внешняя аутентификация или нет.
Следует заметить, что все вышесказанное не предотвращает похищения паролей к страницам, требующим авторизацию, кем-либо, кто контролирует страницы без авторизации, расположенные на том же сервере.
И Netscape Navigator и Internet Explorer очищают кэш аутентификации текущего окна для заданного региона (realm) при получении от сервера статуса 401. Это может использоваться для реализации принудительного выхода пользователя и повторного отображения диалогового окна для ввода имени пользователя и пароля. Некоторые разработчики используют это для ограничения авторизации по времени или для предоставления кнопки "Выход".
Пример #3 Пример HTTP-аутентификации с принудительным вводом новой пары логин/пароль
function
authenticate
() {
header
("WWW-Authenticate: Basic realm="Test Authentication System""
);
header
("HTTP/1.0 401 Unauthorized"
);
echo
"Вы должны ввести корректный логин и пароль для получения доступа к ресурсу \n"
;
exit;
}
if (!isset($_SERVER
[
"PHP_AUTH_USER"
]) || Добро пожаловать: "
($_POST
[
"SeenBefore"
] ==
1
&&
$_POST
[
"OldAuth"
] ==
$_SERVER
[
"PHP_AUTH_USER"
])) {
authenticate
();
} else {
echo
"
"
;
echo
"Предыдущий логин: "
.
htmlspecialchars
($_REQUEST
[
"OldAuth"
]);
echo
";
echo
"\n"
;
echo
".
htmlspecialchars
($_SERVER
[
"PHP_AUTH_USER"
]) .
"\" />\n"
;
echo
"\n"
;
echo
"
}
?>
Это поведение не регламентируется стандартами HTTP Basic -аутентификации, следовательно, вы не должны зависеть от этого. Тестирование браузера Lynx показало, что Lynx не очищает кэш авторизации при получении от сервера статуса 401, и, нажав последовательно "Back", а затем "Forward" возможно открыть такую страницу, при условии, что требуемые атрибуты авторизации не изменились. Однако, пользователь может нажать клавишу "_" для очистки кеша аутентификации.
Для того, чтобы добиться корректной работы HTTP-аутентификации в IIS сервере с CGI версией PHP, вы должны отредактировать конфигурационную настройку IIS под названием "Directory Security ". Щелкните на надписи "Edit " и установите опцию "Anonymous Access ", все остальные поля должны остаться неотмеченными.
Замечание : Замечание касательно IIS:
Для того, чтобы HTTP-аутентификация корректно работала в IIS, в конфигурации PHP опция cgi.rfc2616_headers должна быть установлена значением 0 (значение по умолчанию).
Замечание :
В случае, если используется безопасный режим , UID текущего скрипта будет добавлен в realm -часть заголовка WWW-Authenticate .
Возможно использовать функцию header() для посылки сообщения "Authentication Required" браузеру, заставив его показать окошко для ввода логина и пароля. Как только пользователь заполнит логин и пароль, ссылка, содержащая PHP-скрипт будет вызвана еще раз с предопределенными переменными PHP_AUTH_USER , PHP_AUTH_PW , и AUTH_TYPE , установленными в логин, пароль и тип аутентификации соответственно. Эти предопределенные переменные хранятся в массивах $_SERVER и $HTTP_SERVER_VARS . Поддерживаются оба типа: "Basic" и "Digest" (начиная с версии PHP 5.1.0). Подробнее смотрите функцию header() .
Пример фрагмента скрипта, который вынуждает клиента авторизироваться для просмотра страницы:
Пример #6 Пример Basic HTTP-аутентификации
if (!isset($_SERVER
[
"PHP_AUTH_USER"
])) {
header
("WWW-Authenticate: Basic realm="My Realm""
);
echo
"Текст, отправляемый в том случае,
если пользователь нажал кнопку Cancel"
;
exit;
} else {
echo
"
Hello { $_SERVER [ "PHP_AUTH_USER" ]} .
" ;echo "
Вы ввели пароль
{ $_SERVER [ "PHP_AUTH_PW" ]} ." ;}
?>
Пример #7 Пример Digest HTTP-аутентификации
Это пример реализации простого скрипта Digest HTTP-аутентификации. За подробностями обращайтесь к » RFC 2617 .
$realm = "Запретная зона" ;
//user => password
$users
= array("admin"
=>
"mypass"
,
"guest"
=>
"guest"
);
if (empty($_SERVER
[
"PHP_AUTH_DIGEST"
])) {
header
("HTTP/1.1 401 Unauthorized"
);
header
("WWW-Authenticate: Digest realm=""
.
$realm
.
"",qop="auth",nonce=""
.
uniqid
().
"",opaque=""
.
md5
($realm
).
"""
);
Die("Текст, посылаемый, если пользователь нажал Cancel"
);
}
// анализируем переменную PHP_AUTH_DIGEST
if (!($data
=
http_digest_parse
($_SERVER
[
"PHP_AUTH_DIGEST"
])) ||
!isset($users
[
$data
[
"username"
]]))
die("Неправильные данные!"
);
// генерируем корректный ответ
$A1
=
md5
($data
[
"username"
] .
":"
.
$realm
.
":"
.
$users
[
$data
[
"username"
]]);
$A2
=
md5
($_SERVER
[
"REQUEST_METHOD"
].
":"
.
$data
[
"uri"
]);
$valid_response
=
md5
($A1
.
":"
.
$data
[
"nonce"
].
":"
.
$data
[
"nc"
].
":"
.
$data
[
"cnonce"
].
":"
.
$data
[
"qop"
].
":"
.
$A2
);
if ($data
[
"response"
] !=
$valid_response
)
die("Неправильные данные!"
);
// ok, логин и пароль верны
echo
"Вы вошли как: "
.
$data
[
"username"
];
// функция разбора заголовка http auth
function
http_digest_parse
($txt
)
{
// защита от отсутствующих данных
$needed_parts
= array("nonce"
=>
1
,
"nc"
=>
1
,
"cnonce"
=>
1
,
"qop"
=>
1
,
"username"
=>
1
,
"uri"
=>
1
,
"response"
=>
1
);
$data
= array();
$keys
=
implode
("|"
,
array_keys
($needed_parts
));
Preg_match_all ("@(" . $keys . ")=(?:([\""])([^\2]+?)\2|([^\s,]+))@" , $txt , $matches , PREG_SET_ORDER );
Foreach ($matches
as
$m
) {
$data
[
$m
[
1
]] =
$m
[
3
] ?
$m
[
3
] :
$m
[
4
];
unset($needed_parts
[
$m
[
1
]]);
}
Return
$needed_parts
?
false
:
$data
;
}
?>
Замечание : Замечание касательно совместимости
Будьте особенно внимательны при указании HTTP-заголовков. Для того, чтобы гарантировать максимальную совместимость с наибольшим количеством различных клиентов, слово "Basic" должно быть написано с большой буквы "B", регион (realm) должен быть взят в двойные (не одинарные!) кавычки, и ровно один пробел должен предшествовать коду 401 в заголовке HTTP/1.0 401 . Параметры аутентификации должны разделяться запятыми, как это было показано в примере Digest аутентификации выше.
Вместо простого отображения на экране переменных PHP_AUTH_USER и PHP_AUTH_PW , вам, возможно, понадобится проверить их корректность. Используйте для этого запрос к базе данных или поиск пользователя в dbm-файле.
Вы можете пронаблюдать особенности работы браузера Internet Explorer. Он очень требователен к параметру передаваемых заголовков. Трюк с указанием заголовка WWW-Authenticate перед отправкой статуса HTTP/1.0 401 пока что работает для него.
Начиная с PHP 4.3.0, для того, чтобы предотвратить написание кем-либо скрипта, раскрывающего пароль к странице, которая использует внешнюю аутентификацию, переменные PHP_AUTH не устанавливаются в случае, если данная страница использует внешнюю аутентификацию и установлен безопасный режим . Несмотря на это, переменная REMOTE_USER может использоваться для аутентификации пользователя, прошедшего внешнюю аутентификацию. Таким образом, вы всегда можете воспользоваться переменной $_SERVER["REMOTE_USER"] .
Замечание : Замечание касательно конфигурации
PHP использует указание директивы AuthType для указания того, используется внешняя аутентификация или нет.
Следует заметить, что все вышесказанное не предотвращает похищения паролей к страницам, требующим авторизацию, кем-либо, кто контролирует страницы без авторизации, расположенные на том же сервере.
И Netscape Navigator и Internet Explorer очищают кэш аутентификации текущего окна для заданного региона (realm) при получении от сервера. Это может использоваться для реализации принудительного выхода пользователя и повторного отображения диалогового окна для ввода имени пользователя и пароля. Некоторые разработчики используют это для ограничения авторизации по времени или для предоставления кнопки "Выход".
Пример #8 Пример HTTP-аутентификации с принудительным вводом новой пары логин/пароль
function
authenticate
() {
header
("WWW-Authenticate: Basic realm="Test Authentication System""
);
header
("HTTP/1.0 401 Unauthorized"
);
echo
"Вы должны ввести корректный логин и пароль для получения доступа к ресурсу \n"
;
exit;
}
if (!isset($_SERVER
[
"PHP_AUTH_USER"
]) || Добро пожаловать: "
($_POST
[
"SeenBefore"
] ==
1
&&
$_POST
[
"OldAuth"
] ==
$_SERVER
[
"PHP_AUTH_USER"
])) {
authenticate
();
} else {
echo
"
"
;
echo
"Предыдущий логин: "
.
htmlspecialchars
($_REQUEST
[
"OldAuth"
]);
echo
";
echo
"\n"
;
echo
".
htmlspecialchars
($_SERVER
[
"PHP_AUTH_USER"
]) .
"\" />\n"
;
echo
"\n"
;
echo
"
}
?>
Это поведение не регламентируется стандартами HTTP Basic -аутентификации, следовательно, вы не должны зависеть от этого. Тестирование браузера Lynx показало, что Lynx не очищает кэш авторизации при получении от сервера статуса 401, и, нажав последовательно "Back", а затем "Forward" возможно открыть такую страницу, при условии, что требуемые атрибуты авторизации не изменились. Однако, пользователь может нажать клавишу "_" для очистки кеша аутентификации.
Также следует заметить, что до версии PHP 4.3.3, HTTP-аутентификация не работала на серверах под управлением Microsoft IIS, если PHP был установлен как CGI-модуль, в силу некоторых ограничений IIS. Для того, чтобы добиться корректной работы в PHP 4.3.3+, вы должны отредактировать конфигурационную настройку IIS под названием "Directory Security ". Щелкните на надписи "Edit " и установите опцию "Anonymous Access ", все остальные поля должны остаться неотмеченными.
Еще одно ограничение, если вы используете IIS посредством ISAPI и PHP 4: переменные PHP_AUTH_* не определены, но в то же время доступна переменная HTTP_AUTHORIZATION . Пример кода, который вы могли бы использовать: list($user, $pw) = explode(":", base64_decode(substr($_SERVER["HTTP_AUTHORIZATION"], 6)));
Замечание : Замечание касательно IIS:
Для того, чтобы HTTP-аутентификация корректно работала в IIS, в конфигурации PHP опция cgi.rfc2616_headers должна быть установлена значением 0 (значение по умолчанию).
Замечание :
В случае, если используется безопасный режим , UID текущего скрипта будет добавлен в realm -часть заголовка WWW-Authenticate .
Эта статья устарела.
Эта статья написана для услуги Виртуальный хостинг, которая считается устаревшей с 1 июня 2019 года.
Актуальную услугу хостинга можно заказать на нашем сайте
HTTP-авторизация средствами PHP
В данной статье рассмотрено создание HTTP-авторизации с помощью PHP, что позволит закрыть какой-либо раздел сайта, например административную часть.
Для установления подлинности HTTP обеспечивает простой механизм "вызов-ответ" (challenge-response), который может использоваться сервером для вызова (challenge) клиентского запроса, а клиентом для предоставления опознавательной информации (authentication information). Наиболее распространенной схемой авторизации является "Базовая схема установления подлинности" (Basic Authentication Scheme).
"Базовая" схема установления подлинности основана на том, что агент пользователя (браузер) должен подтвердить свою подлинность при помощи идентификатора пользователя (имени пользователя) и пароля для каждой защищенной области (realm). Сервер обслужит запрос, в случае если он может проверить правильность идентификатора пользователя и его пароля для данной защищенной области. Никаких дополнительных опознавательных параметров в данной схеме не предусмотрено.
После получения запроса на идентификацию, сервер отвечает вызовом (challenge), подобным следующему:
WWW-Authenticate: Basic realm="Restricted Area" HTTP/1.1 401 Unauthorized
Здесь "Restricted Area" -- строка, назначенная сервером, которая идентифицирует защищенную область запрашиваемого URI (Request-URI). Говоря простым языком -- имя защищенной области.
Далее, чтобы получить права доступа, агент пользователя (браузер) отправляет на сервер идентификатор пользователя (имя пользователя) и пароль, разделенные одним символом двоеточия (":"), внутри base64-кодированной строки рекомендаций (credentials):
Basic-credentials = "Basic" basic-cookie
Здесь
- basic-cookie -- base64-кодированая строка, содержащая user-pass
- user-pass -- строка вида "userid:password"
- userid -- текст, не содержащий символов ":"
- password -- текст
Обратите внимание, что и имя пользователя и пароль являются чувствительными к регистру. То есть, например, User и user -- два различных имени пользователя.
HTTP-авторизация и PHP
Возможно вам уже приходилось использовать Basic-схему авторизации совместно с PHP и вам известно, что суть метода сводится к тому, чтобы получить от веб-сервера переменные PHP_AUTH_USER и PHP_AUTH_PW , определяющие соответственно имя пользователя и пароль, и каким-либо образом обработать их внутри PHP-скрипта. Но заметим, что данный способ эффективен только тогда, когда PHP функционирует в качестве модуля веб-сервера Apache. На нашем хостинге PHP работает в режиме CGI/FastCGI и описанный выше метод работать не будет, поскольку переменные PHP_AUTH_USER и PHP_AUTH_PW не будут передаваться внутрь скрипта.
Однако существует способ, который позволяет обойти это ограничение и передать значения имени пользователя и пароля, которые вводит пользователь, внутрь PHP-скрипта. Для этих целей используются средства mod_rewrite -- модуля веб-сервера Apache. Правила, которые мы будем использовать, имеют следующий вид:
RewriteCond %{HTTP:Authorization} ^Basic.* RewriteRule (.*) index.php?authorization=%{HTTP:Authorization}
При запросе через HTTP к файлу sitename.ru/www/index.php, данное правило будет передавать GET-запросом содержимое непустого поля Authorization в параметр authorization. Если мы средствами PHP посмотрим на содержимое переменной $_GET["authorization"], то увидем как раз описываемый выше basic-credentials -- строку вида:
Preg_match("/^Basic\s+(.*)$/i", $_GET["authorization"], $user_pass); list($user,$pass)=explode(":",base64_decode($user_pass));
Таким образом мы получим две переменные -- $user и $pass, содержащие соответствено имя пользователя и пароль. Теперь, как упоминалось выше, их нужно лишь каким-либо образом обработать -- например, сравнить с аналогичными переменными из базы данных или из файла с учетными записями пользователей.
Заключение
Рассмотренный в данной статье метод будет успешно работать не только на нашем хостинге, но и везде, где PHP работает в режиме CGI/FastCGI и в качестве веб-сервера используется Apache + mod_rewrite.
Исходные тексты рабочих примеров вы можете найти в Приложении к данной статье.
Приложение. Исходные тексты скрипта
Исходный текст файла.htaccess
Исходный текст PHP-скрипта
$authenticated=0; if(isset($_GET["authorization"])) { if(preg_match("/^Basic\s+(.*)$/i", $_GET["authorization"], $user_pass)) { list($user,$pass)=explode(":",base64_decode($user_pass)); // Проверка корректности введенных реквизитов доступа if($user=="user" && $pass=="password") { $authenticated=1; } } } if($authenticated) { // Авторизация успешно пройдена echo("user: ".$user."pass: ".$pass); } else { header("WWW-Authenticate: Basic realm="Restricted Area""); header("HTTP/1.1 401 Unauthorized"); echo("Access denied."); }
