http登录验证PHP 的 HTTP 认证机制仅在 PHP 以 Apache 模块方式运行时才有效,因此该功能不适用于 CGI 版本。在 Apache 模块的 PHP 脚本中,可以用 header() 函数来向客户端浏览器发送“Authentication Required”信息,使其弹出一个用户名/密码输入窗口。当用户输入用户名和密码后,包含有 URL 的 PHP 脚本将会再次和预定义变量 PHP_AUTH_USER、PHP_AUTH_PW 和 PHP_AUTH_TYPE 一起被调用,这三个变量分别被设定为用户名,密码和认证类型。预定义变量保存在 $_SERVER 或者 $HTTP_SERVER_VARS 数组中。系统仅支持“基本的”认证。请参阅 header() 函数以获取更多信息。 PHP 版本问题: Autoglobals 全局变量,包括 $_SERVER等,在 PHP 4.1.0 以后版本有效, $HTTP_SERVER_VARS 从 PHP 3 开始有效。 以下是在页面上强迫客户端认证的脚本范例: 例子 16-1. HTTP 认证范例<?php
if (!isset($_SERVER['PHP_AUTH_USER'])) {
header('WWW-Authenticate: Basic realm="My Realm"');
header('HTTP/1.0 401 Unauthorized');
echo 'Text to send if user hits Cancel button';
exit;
} else {
echo "<p>Hello {$_SERVER['PHP_AUTH_USER']}.</p>";
echo "<p>You entered {$_SERVER['PHP_AUTH_PW']} as your password.</p>";
}
?>
兼容性问题: 在编写 HTTP 头信息代码时请格外小心。为了对所有的客户端保证兼容性,关键字“Basic”的第一个字母必须大写为“B”,分界字符串必须用双引号(不是单引号)引用;并且在头信息行 HTTP/1.0 401 中,在 401 前必须有且仅有一个空格。 在以上例程中,我们仅仅只打印出了 PHP_AUTH_USER 和 PHP_AUTH_PW 的值,但在实际运用中,您可能需要对用户名和密码的合法性进行检查。或许进行数据库的查询,或许从 dbm 文件中检索。 请注意由 Internet Explorer 浏览器本身的问题带来的错误。它对头信息的顺序显得似乎有点吹毛求疵。目前在 HTTP/1.0 401 头之前发送 WWW-Authenticate 头信息能解决该问题。 为了防止有人编写恶意代码来显示为以前通过传统外部机制认证的页面提供的密码,当某些页面的外部认证被激活时,PHP_AUTH 变量将不会被设置。在这种情况下,我们可以使用 REMOTE_USER 变量来辨别外部认证的用户,即 $_SERVER['REMOTE_USER']。 设置问题: PHP 用 AuthType 选项来判断外部认证机制是否有效。当您希望使用 PHP 认证的时候,请记得关闭该选项,否则任何认证的尝试操作都会失败。 注意,这仍然不能防止有人通过未认证的 URL 来从同一服务器上认证的 URL 上偷取密码。 Netscape Navigator 和 Internet Explorer 浏览器都会在收到 401 的服务端返回信息时清空所有的本地浏览器整个域的 Windows 认证缓存。这能够有效的注销一个用户,并迫使他们重新输入他们的用户名和密码。有些人用这种方法来使登录状态“过期”,或者作为“注销”按钮的响应行为。 例子 16-2. 强迫重新输入用户名和密码的 HTTP 认证的范例<?php
function authenticate() {
header('WWW-Authenticate: Basic realm="Test Authentication System"');
header('HTTP/1.0 401 Unauthorized');
echo "You must enter a valid login ID and password to access this resource\n";
exit;
}
if (!isset($_SERVER['PHP_AUTH_USER']) || ($_POST['SeenBefore'] == 1 && $_POST['OldAuth'] == $_SERVER['PHP_AUTH_USER'])) {
authenticate();
}
else {
echo "<p>Welcome: {$_SERVER['PHP_AUTH_USER']}<br>";
echo "Old: {$_REQUEST['OldAuth']}";
echo "<form action='{$_SERVER['PHP_SELF']}' METHOD='POST'>\n";
echo "<input type='hidden' name='SeenBefore' value='1'>\n";
echo "<input type='hidden' name='OldAuth' value='{$_SERVER['PHP_AUTH_USER']}'>\n";
echo "<input type='submit' value='Re Authenticate'>\n";
echo "</form></p>\n";
}
?>
该行为对于 HTTP 基本认证标准来说并不是必须的,因此您不能依靠这种方法。对 Lynx 浏览器的测试表明 Lynx 在收到 401 的服务端返回信息时不会清空认证文件,因此只要对认证文件的检查要求没有变化,只要用户点击“后退”按钮,再点击“前进”按钮,其原有资源仍然能够被访问。不过,用户可以通过按“_”键来清空他们的认证信息。 同时请注意,由于微软的 IIS 服务器的一些限制,该功能对 IIS 和 PHP 的 CGI 版本不适用。 注: 如果安全模式被激活,脚本的 UID 会被加到 WWW-Authenticate 头信息的 realm 部分。
if (!isset($_SERVER['PHP_AUTH_USER'])) {
header('WWW-Authenticate: Basic realm="My Realm"');
header('HTTP/1.0 401 Unauthorized');
echo 'Text to send if user hits Cancel button';
exit;
} else {
echo "<p>Hello {$_SERVER['PHP_AUTH_USER']}.</p>";
echo "<p>You entered {$_SERVER['PHP_AUTH_PW']} as your password.</p>";
}
?>
兼容性问题: 在编写 HTTP 头信息代码时请格外小心。为了对所有的客户端保证兼容性,关键字“Basic”的第一个字母必须大写为“B”,分界字符串必须用双引号(不是单引号)引用;并且在头信息行 HTTP/1.0 401 中,在 401 前必须有且仅有一个空格。 在以上例程中,我们仅仅只打印出了 PHP_AUTH_USER 和 PHP_AUTH_PW 的值,但在实际运用中,您可能需要对用户名和密码的合法性进行检查。或许进行数据库的查询,或许从 dbm 文件中检索。 请注意由 Internet Explorer 浏览器本身的问题带来的错误。它对头信息的顺序显得似乎有点吹毛求疵。目前在 HTTP/1.0 401 头之前发送 WWW-Authenticate 头信息能解决该问题。 为了防止有人编写恶意代码来显示为以前通过传统外部机制认证的页面提供的密码,当某些页面的外部认证被激活时,PHP_AUTH 变量将不会被设置。在这种情况下,我们可以使用 REMOTE_USER 变量来辨别外部认证的用户,即 $_SERVER['REMOTE_USER']。 设置问题: PHP 用 AuthType 选项来判断外部认证机制是否有效。当您希望使用 PHP 认证的时候,请记得关闭该选项,否则任何认证的尝试操作都会失败。 注意,这仍然不能防止有人通过未认证的 URL 来从同一服务器上认证的 URL 上偷取密码。 Netscape Navigator 和 Internet Explorer 浏览器都会在收到 401 的服务端返回信息时清空所有的本地浏览器整个域的 Windows 认证缓存。这能够有效的注销一个用户,并迫使他们重新输入他们的用户名和密码。有些人用这种方法来使登录状态“过期”,或者作为“注销”按钮的响应行为。 例子 16-2. 强迫重新输入用户名和密码的 HTTP 认证的范例<?php
function authenticate() {
header('WWW-Authenticate: Basic realm="Test Authentication System"');
header('HTTP/1.0 401 Unauthorized');
echo "You must enter a valid login ID and password to access this resource\n";
exit;
}
if (!isset($_SERVER['PHP_AUTH_USER']) || ($_POST['SeenBefore'] == 1 && $_POST['OldAuth'] == $_SERVER['PHP_AUTH_USER'])) {
authenticate();
}
else {
echo "<p>Welcome: {$_SERVER['PHP_AUTH_USER']}<br>";
echo "Old: {$_REQUEST['OldAuth']}";
echo "<form action='{$_SERVER['PHP_SELF']}' METHOD='POST'>\n";
echo "<input type='hidden' name='SeenBefore' value='1'>\n";
echo "<input type='hidden' name='OldAuth' value='{$_SERVER['PHP_AUTH_USER']}'>\n";
echo "<input type='submit' value='Re Authenticate'>\n";
echo "</form></p>\n";
}
?>
该行为对于 HTTP 基本认证标准来说并不是必须的,因此您不能依靠这种方法。对 Lynx 浏览器的测试表明 Lynx 在收到 401 的服务端返回信息时不会清空认证文件,因此只要对认证文件的检查要求没有变化,只要用户点击“后退”按钮,再点击“前进”按钮,其原有资源仍然能够被访问。不过,用户可以通过按“_”键来清空他们的认证信息。 同时请注意,由于微软的 IIS 服务器的一些限制,该功能对 IIS 和 PHP 的 CGI 版本不适用。 注: 如果安全模式被激活,脚本的 UID 会被加到 WWW-Authenticate 头信息的 realm 部分。
解决方案 »
免费领取超大流量手机卡,每月29元包185G流量+100分钟通话, 中国电信官方发货