主頁 > 知識庫 > PHP如何實現(xiàn)HTTP驗證

PHP如何實現(xiàn)HTTP驗證
熱門標簽:釘釘打卡地圖標注 常州地圖標注服務商 衡水外呼系統(tǒng)平臺 安裝電銷外呼系統(tǒng) 百度商鋪地圖標注 福州人工外呼系統(tǒng)哪家強 注冊400電話申請 地圖標注平臺怎么給錢注冊 新河科技智能外呼系統(tǒng)怎么樣

在日常開發(fā)中,我們進行用戶登錄的時候,大部分情況下都會使用 session 來保存用戶登錄信息,并以此為依據(jù)判斷用戶是否已登錄。但其實 HTTP 也提供了這種登錄驗證機制,我們今天就來學習關(guān)于 HTTP 驗證相關(guān)的知識。

HTTP Basic

if (!isset($_SERVER['PHP_AUTH_USER'])) {
    header('WWW-Authenticate: Basic realm="My Realm"');
    header('HTTP/1.0 401 Unauthorized');
    echo 'Text to send if user hits Cancel button';
    exit;
} else {
    echo "p>Hello {$_SERVER['PHP_AUTH_USER']}./p>";
    echo "p>You entered {$_SERVER['PHP_AUTH_PW']} as your password./p>";
}
// Authorization: Basic YWFhOmFhYQ==
echo base64_decode('YWFhOmFhYQ==');
// aaa:aaa 等于明文

還是直接就從代碼入手,上面的代碼就是最簡單的一種 HTTP 認證方式,如果 $_SERVER['PHP_AUTH_USER'] 不存在,那么我們就向瀏覽器發(fā)送一個 401 響應頭,就是告訴瀏覽器我們需要登錄驗證。當瀏覽器收到這個響應頭時,就會彈出一個瀏覽器自帶的驗證框并要求輸入用戶名和密碼。

當我們填寫了用戶名和密碼后,瀏覽器會在請求頭中帶上 Authorization 字段,并且將 base64 之后的用戶名和密碼發(fā)送過來。同時,PHP將會分別把用戶名和密碼解析到_SERVER['PHP_AUTH_USER']和_SERVER['PHP_AUTH_PW'] 中。

上述這種認證方式就是最簡單的 HTTP Basic 認證,可以看出,這種方式進行驗證的用戶名和密碼其實是相當于明文傳輸?shù)?,因?base64 很容易就可以反向解析出來。所以這種方式是非常不安全的。那么有沒有更復雜一些的方式呢?

HTTP Digest

既然這么寫了,那肯定是有更好的方式啦,那就是 HTTP Digest 方式的 HTTP 認證。

$realm = 'Restricted area';

//user => password
$users = array('admin' => 'mypass', 'guest' => 'guest');

// 指定 Digest 驗證方式
if (empty($_SERVER['PHP_AUTH_DIGEST']) || !$_COOKIE['login']) {
    setcookie('login', 1);  // 退出登錄條件判斷
    header('HTTP/1.1 401 Unauthorized');
    header('WWW-Authenticate: Digest realm="' . $realm .
        '",qop="auth",nonce="' . uniqid() . '",opaque="' . md5($realm) . '"');
    
    // 如果用戶不輸入密碼點了取消
    die('您點了取消,無法登錄');
    
}

// 驗證用戶登錄信息
if (!($data = http_digest_parse($_SERVER['PHP_AUTH_DIGEST'])) ||
    !isset($users[$data['username']])) {
    die('Wrong Credentials!');
}

// 驗證登錄信息
$A1 = md5($data['username'] . ':' . $realm . ':' . $users[$data['username']]);
$A2 = md5($_SERVER['REQUEST_METHOD'] . ':' . $data['uri']);
$valid_response = md5($A1 . ':' . $data['nonce'] . ':' . $data['nc'] . ':' . $data['cnonce'] . ':' . $data['qop'] . ':' . $A2);
// $data['response'] 是瀏覽器客戶端的加密內(nèi)容
if ($data['response'] != $valid_response) {
    die('Wrong Credentials!');
}

// 用戶名密碼驗證成功
echo '您的登錄用戶為: ' . $data['username'];
setcookie("login", 2);

// Authorization: Digest username="guest", realm="Restricted area", nonce="5e815bcbb4eba", uri="/", response="9286ea8d0fac79d3a95fff3e442d6d79", opaque="cdce8a5c95a1427d74df7acbf41c9ce0", qop=auth, nc=00000002, cnonce="a42e137359673851"
// 服務器回復報文中的nonce值,加上username,password, http method, http uri利用MD5(或者服務器指定的其他算法)計算出request-digest,作為repsonse頭域的值


// 獲取登錄信息
function http_digest_parse($txt)
{
    // echo $txt;
    // protect against missing data
    $needed_parts = array('nonce' => 1, 'nc' => 1, 'cnonce' => 1, 'qop' => 1, 'username' => 1, 'uri' => 1, 'response' => 1);
    $data = array();
    $keys = implode('|', array_keys($needed_parts));

    preg_match_all('@(' . $keys . ')=(?:([\'"])([^\2]+?)\2|([^\s,]+))@', $txt, $matches, PREG_SET_ORDER);

    foreach ($matches as $m) {
        $data[$m[1]] = $m[3] ? $m[3] : $m[4];
        unset($needed_parts[$m[1]]);
    }

    return $needed_parts ? false : $data;
}

if($_GET['logout']){

    setcookie("login", 0);
    header("Location: /");
}

從代碼量就可以看出這種方式復雜了很多。首先是我們一樣需要在未登錄的情況下返回 401 響應頭,告訴瀏覽器我們要進行 Digest 認證。這里 header 信息就有不一樣的地方了,格式是 Digest ,內(nèi)容也比 Basic 多了許多,這些多出來的內(nèi)容都是我們在驗證認證內(nèi)容的時候需要用到的。

接著,瀏覽器一樣是會彈出輸入用戶名和密碼的彈窗。然后將加密后的用戶名和密碼信息提交上來。我們可以看到返回值里有明文的 username ,但是沒有明文的密碼了。其實密碼是通過 username 、 密碼 、 nonce 、 nc 、 cnoce 、cop 、$_SERVER['REQUEST_METHOD'] 、 uri 等這些內(nèi)容進行 md5 加密后生成的,放在了 response 字段中提交了上來。我們也需要按照同樣的規(guī)則獲得加密后的密碼進行比對就可以判定用戶名和密碼正確從而讓用戶完成正常的登錄流程。

在這段代碼中,我們加入了一個 cookie ,是為了做退出登錄的判斷使用的。因為 HTTP 認證這種形式的過期時間是以瀏覽器為基準的。也就是如果客戶端關(guān)閉了瀏覽器,則客戶端瀏覽器內(nèi)存中保存的用戶名和密碼才會消失。這種情況下我們只能通過 cookie 來進行退出登錄的操作,如果用戶退出登錄了就改變這個 cookie 的內(nèi)容并重新發(fā)送 401 響應頭給瀏覽要求重新登錄。

總結(jié)

HTTP 驗證的這種操作一般不會做為我們?nèi)粘i_發(fā)中的正常登錄功能,大部分情況下,我們會給后臺或者一些特殊的管理工具加上一層這種 HTTP 認證來實現(xiàn)雙重的認證,也就是為了保障后臺的數(shù)據(jù)安全。比如,我會在我的 phpMyAdmin 上增加一層這個認證。另外,HTTP 認證也可以直接在 Nginx 或 Apache 中直接配置,不需要走到 PHP 這一層來,這個我們將來學習 Nginx 的時候會再做說明。

測試代碼: github.com/zhangyue050…

以上就是PHP如何實現(xiàn)HTTP驗證的詳細內(nèi)容,更多關(guān)于PHP HTTP驗證的資料請關(guān)注腳本之家其它相關(guān)文章!

您可能感興趣的文章:
  • php中使用base HTTP驗證的方法
  • php基于表單密碼驗證與HTTP驗證用法實例
  • php的curl攜帶header請求頭信息實現(xiàn)http訪問的方法
  • HTTP頭隱藏PHP版本號實現(xiàn)過程解析
  • AngularJs的$http發(fā)送POST請求,php無法接收Post的數(shù)據(jù)問題及解決方案
  • PHP使用Http Post請求發(fā)送Json對象數(shù)據(jù)代碼解析
  • PHP利用curl發(fā)送HTTP請求的實例代碼
  • php如何獲取Http請求
  • PHP swoole中http_server的配置與使用方法實例分析

標簽:鶴崗 唐山 遼陽 柳州 克拉瑪依 白城 六安 鷹潭

巨人網(wǎng)絡通訊聲明:本文標題《PHP如何實現(xiàn)HTTP驗證》,本文關(guān)鍵詞  PHP,如何,實現(xiàn),HTTP,驗證,;如發(fā)現(xiàn)本文內(nèi)容存在版權(quán)問題,煩請?zhí)峁┫嚓P(guān)信息告之我們,我們將及時溝通與處理。本站內(nèi)容系統(tǒng)采集于網(wǎng)絡,涉及言論、版權(quán)與本站無關(guān)。
  • 相關(guān)文章
  • 下面列出與本文章《PHP如何實現(xiàn)HTTP驗證》相關(guān)的同類信息!
  • 本頁收集關(guān)于PHP如何實現(xiàn)HTTP驗證的相關(guān)信息資訊供網(wǎng)民參考!
    • 推薦文章