本篇內(nèi)容主要講解“PHP的HTTP驗證機(jī)制”�����,感興趣的朋友不妨來看看�����。本文介紹的方法操作簡單快捷�����,實用性強(qiáng)�����。下面就讓小編來帶大家學(xué)習(xí)“PHP的HTTP驗證機(jī)制”吧!
PHP的HTTP驗證
在日常開發(fā)中,我們進(jìn)行用戶登錄的時候�����,大部分情況下都會使用 session 來保存用戶登錄信息�����,并以此為依據(jù)判斷用戶是否已登錄�����。但其實 HTTP 也提供了這種登錄驗證機(jī)制�����,我們今天就來學(xué)習(xí)關(guān)于 HTTP 驗證相關(guān)的知識�����。
HTTP Basic
if (!isset($_SERVER['PHP_AUTH_USER'])) {
header('WWW-Authenticate: Basic realm="My Realm"');
header('HTTP/1.0 401 Unauthorized');
echo 'Text to send if user hits Cancel button';
exit;
} else {
echo "<p>Hello {$_SERVER['PHP_AUTH_USER']}.</p>";
echo "<p>You entered {$_SERVER['PHP_AUTH_PW']} as your password.</p>";
}
// Authorization: Basic YWFhOmFhYQ==
echo base64_decode('YWFhOmFhYQ==');
// aaa:aaa 等于明文
還是直接就從代碼入手�����,上面的代碼就是最簡單的一種 HTTP 認(rèn)證方式�����,如果 $_SERVER['PHP_AUTH_USER'] 不存在�����,那么我們就向瀏覽器發(fā)送一個 401 響應(yīng)頭�����,就是告訴瀏覽器我們需要登錄驗證�����。當(dāng)瀏覽器收到這個響應(yīng)頭時�����,就會彈出一個瀏覽器自帶的驗證框并要求輸入用戶名和密碼�����。
當(dāng)我們填寫了用戶名和密碼后�����,瀏覽器會在請求頭中帶上 Authorization 字段,并且將 base64 之后的用戶名和密碼發(fā)送過來�����。同時�����,PHP將會分別把用戶名和密碼解析到 \$_SERVER['PHP_AUTH_USER'] 和 $_SERVER['PHP_AUTH_PW'] 中�����。
上述這種認(rèn)證方式就是最簡單的 HTTP Basic 認(rèn)證,可以看出�����,這種方式進(jìn)行驗證的用戶名和密碼其實是相當(dāng)于明文傳輸?shù)?����,因?base64 很容易就可以反向解析出來�����。所以這種方式是非常不安全的。那么有沒有更復(fù)雜一些的方式呢�����?
HTTP Digest
既然這么寫了�����,那肯定是有更好的方式啦�����,那就是 HTTP Digest 方式的 HTTP 認(rèn)證�����。
$realm = 'Restricted area';
//user => password
$users = array('admin' => 'mypass', 'guest' => 'guest');
// 指定 Digest 驗證方式
if (empty($_SERVER['PHP_AUTH_DIGEST']) || !$_COOKIE['login']) {
setcookie('login', 1); // 退出登錄條件判斷
header('HTTP/1.1 401 Unauthorized');
header('WWW-Authenticate: Digest realm="' . $realm .
'",qop="auth",nonce="' . uniqid() . '",opaque="' . md5($realm) . '"');
// 如果用戶不輸入密碼點了取消
die('您點了取消�����,無法登錄');
}
// 驗證用戶登錄信息
if (!($data = http_digest_parse($_SERVER['PHP_AUTH_DIGEST'])) ||
!isset($users[$data['username']])) {
die('Wrong Credentials!');
}
// 驗證登錄信息
$A1 = md5($data['username'] . ':' . $realm . ':' . $users[$data['username']]);
$A2 = md5($_SERVER['REQUEST_METHOD'] . ':' . $data['uri']);
$valid_response = md5($A1 . ':' . $data['nonce'] . ':' . $data['nc'] . ':' . $data['cnonce'] . ':' . $data['qop'] . ':' . $A2);
// $data['response'] 是瀏覽器客戶端的加密內(nèi)容
if ($data['response'] != $valid_response) {
die('Wrong Credentials!');
}
// 用戶名密碼驗證成功
echo '您的登錄用戶為: ' . $data['username'];
setcookie("login", 2);
// Authorization: Digest username="guest", realm="Restricted area", nonce="5e815bcbb4eba", uri="/", response="9286ea8d0fac79d3a95fff3e442d6d79", opaque="cdce8a5c95a1427d74df7acbf41c9ce0", qop=auth, nc=00000002, cnonce="a42e137359673851"
// 服務(wù)器回復(fù)報文中的nonce值,加上username,password, http method, http uri利用MD5(或者服務(wù)器指定的其他算法)計算出request-digest�����,作為repsonse頭域的值
// 獲取登錄信息
function http_digest_parse($txt)
{
// echo $txt;
// protect against missing data
$needed_parts = array('nonce' => 1, 'nc' => 1, 'cnonce' => 1, 'qop' => 1, 'username' => 1, 'uri' => 1, 'response' => 1);
$data = array();
$keys = implode('|', array_keys($needed_parts));
preg_match_all('@(' . $keys . ')=(?:([\'"])([^\2]+?)\2|([^\s,]+))@', $txt, $matches, PREG_SET_ORDER);
foreach ($matches as $m) {
$data[$m[1]] = $m[3] ? $m[3] : $m[4];
unset($needed_parts[$m[1]]);
}
return $needed_parts ? false : $data;
}
if($_GET['logout']){
setcookie("login", 0);
header("Location: /");
}
從代碼量就可以看出這種方式復(fù)雜了很多�����。首先是我們一樣需要在未登錄的情況下返回 401 響應(yīng)頭�����,告訴瀏覽器我們要進(jìn)行 Digest 認(rèn)證�����。這里 header 信息就有不一樣的地方了�����,格式是 Digest ,內(nèi)容也比 Basic 多了許多�����,這些多出來的內(nèi)容都是我們在驗證認(rèn)證內(nèi)容的時候需要用到的。
接著�����,瀏覽器一樣是會彈出輸入用戶名和密碼的彈窗�����。然后將加密后的用戶名和密碼信息提交上來�����。我們可以看到返回值里有明文的 username �����,但是沒有明文的密碼了�����。其實密碼是通過 username �����、 密碼 �����、 nonce �����、 nc �����、 cnoce �����、cop �����、$_SERVER['REQUEST_METHOD'] �����、 uri 等這些內(nèi)容進(jìn)行 md5 加密后生成的�����,放在了 response 字段中提交了上來�����。我們也需要按照同樣的規(guī)則獲得加密后的密碼進(jìn)行比對就可以判定用戶名和密碼正確從而讓用戶完成正常的登錄流程�����。
在這段代碼中�����,我們加入了一個 cookie �����,是為了做退出登錄的判斷使用的�����。因為 HTTP 認(rèn)證這種形式的過期時間是以瀏覽器為基準(zhǔn)的�����。也就是如果客戶端關(guān)閉了瀏覽器�����,則客戶端瀏覽器內(nèi)存中保存的用戶名和密碼才會消失。這種情況下我們只能通過 cookie 來進(jìn)行退出登錄的操作�����,如果用戶退出登錄了就改變這個 cookie 的內(nèi)容并重新發(fā)送 401 響應(yīng)頭給瀏覽要求重新登錄�����。
總結(jié)
HTTP 驗證的這種操作一般不會做為我們?nèi)粘i_發(fā)中的正常登錄功能�����,大部分情況下�����,我們會給后臺或者一些特殊的管理工具加上一層這種 HTTP 認(rèn)證來實現(xiàn)雙重的認(rèn)證�����,也就是為了保障后臺的數(shù)據(jù)安全�����。比如�����,我會在我的 phpMyAdmin 上增加一層這個認(rèn)證�����。另外�����,HTTP 認(rèn)證也可以直接在 Nginx 或 Apache 中直接配置�����,不需要走到 PHP 這一層來�����,這個我們將來學(xué)習(xí) Nginx 的時候會再做說明�����。
測試代碼:https://github.com/zhangyue0503/dev-blog/blob/master/php/202003/source/PHP%E7%9A%84HTTP%E9%AA%8C%E8%AF%81.php
參考文檔:https://www.php.net/manual/zh/features.http-auth.php
到此�����,相信大家對“PHP的HTTP驗證機(jī)制”有了更深的了解,不妨來實際操作一番吧�����!這里是億速云網(wǎng)站�����,更多相關(guān)內(nèi)容可以進(jìn)入相關(guān)頻道進(jìn)行查詢�����,關(guān)注我們�����,繼續(xù)學(xué)習(xí)�����!
