1. ホーム
  2. 質問と答え
  3. 公式のdocuのPHPコードによるHTTP認証が正しく機能していない

公式のdocuのPHPコードによるHTTP認証が正しく機能していない

2016-04-04 2 views
1

ウェブサイトの認証方法が必要です。公式マニュアルにarticleが見つかりました。公式のdocuのPHPコードによるHTTP認証が正しく機能していない

<?php 
$realm = 'Restricted area'; 

//user => password 
$users = array('admin' => 'mypass', 'guest' => 'guest'); 


if (empty($_SERVER['PHP_AUTH_DIGEST'])) { 
    header('HTTP/1.1 401 Unauthorized'); 
    header('WWW-Authenticate: Digest realm="'.$realm. 
      '",qop="auth",nonce="'.uniqid().'",opaque="'.md5($realm).'"'); 

    die('Text to send if user hits Cancel button'); 
} 

if // analyze the PHP_AUTH_DIGEST variable 
(
    !($data = http_digest_parse($_SERVER['PHP_AUTH_DIGEST'])) || 
    !isset($users[$data['username']]) 
) 
{ 
    die('Wrong Credentials!'); 
}  

// generate the valid response 
$A1 = md5($data['username'] . ':' . $realm . ':' . $users[$data['username']]); 
$A2 = md5($_SERVER['REQUEST_METHOD'].':'.$data['uri']); 
$valid_response = md5($A1.':'.$data['nonce'].':'.$data['nc'].':'.$data['cnonce'].':'.$data['qop'].':'.$A2); 

if ($data['response'] != $valid_response) 
    die('Wrong Credentials!'); 

// ok, valid username & password 
echo 'You are logged in as: ' . $data['username']; 


// function to parse the http auth header 
function http_digest_parse($txt) 
{ 
    // protect against missing data 
    $needed_parts = array('nonce'=>1, 'nc'=>1, 'cnonce'=>1, 'qop'=>1, 'username'=>1, 'uri'=>1, 'response'=>1); 
    $data = array(); 
    $keys = implode('|', array_keys($needed_parts)); 

    preg_match_all('@(' . $keys . ')=(?:([\'"])([^\2]+?)\2|([^\s,]+))@', $txt, $matches, PREG_SET_ORDER); 

    foreach ($matches as $m) { 
     $data[$m[1]] = $m[3] ? $m[3] : $m[4]; 
     unset($needed_parts[$m[1]]); 
    } 

    return $needed_parts ? false : $data; 
} 
?> 

<!DOCTYPE html> 
<html> 
<head> 
    <meta charset="UTF-8"> 
</head> 
<body> 
    <p>Test</p> 
</body> 
</html>

しかし、私は、正しい資格情報を入力するように失敗した場合、その後、私はWrong Credentials!すべてのリロード後も時間なしログインプロンプトはもう表示されて取得します。これの原因は何ですか?どうすれば解決できますか?

出典

2016-04-04 Black

+0

は、これはすべてのブラウザで発生しますか? – apokryfos

+0

はい。 chromeとfirefoxでテストされています。 – Black

+0

私はなぜそうだと思いますが、$ _SERVER ['PHP_AUTH_DIGEST']は後続のリクエストにわたって永続しているように見えます。 – apokryfos

答えて

2

ブラウザは、新しい要求で前もって指定された資格情報を送信します。ブラウザーに新しい資格情報を要求するには、WWW-Authenticateヘッダーを再送信する必要があります。ここではdie()の前です。このよう

if // analyze the PHP_AUTH_DIGEST variable (
    !($data = http_digest_parse($_SERVER['PHP_AUTH_DIGEST'])) || 
    !isset($users[$data['username']])) { 
    header('WWW-Authenticate: Digest realm="'.$realm. 
      '",qop="auth",nonce="'.uniqid().'",opaque="'.md5($realm).'"'); 
     die('Wrong Credentials!'); 
} 


if ($data['response'] != $valid_response) { 
    header('WWW-Authenticate: Digest realm="'.$realm. 
       '",qop="auth",nonce="'.uniqid().'",opaque="'.md5($realm).'"'); 
    die('Wrong Credentials!'); 
}

出典

2016-04-04 12:31:24 Zimmi

+0

これは 'Wrong Credentials! 'を表示しません。ユーザーが間違った資格情報を提出した直後に再度ログインプロンプトを表示します。しかし、それは大丈夫です。 – Black

+1

@EdwardBlackユーザーがキャンセルを押すと、「間違ったクレジット」と表示されますが、これはブラウザの実装に依存します。私のIE11はここで3回質問し、ログインプロンプトを閉じた後に... – Zimmi

関連する問題

 関連する問題