$realm='Restricted area';//user => password$users= array('admin'=>'mypass','guest'=>'guest');
if (empty($_SERVER['PHP_AUTH_DIGEST'])) {header('HTTP/1.1 401 Unauthorized');header('WWW-Authenticate: Digest realm="'.$realm.'" qop="auth" nonce="'.uniqid().'" opaque="'.md5($realm).'"');
die('Text to send if user hits Cancel button');
}// analyze the PHP_AUTH_DIGEST variableif (!($data=http_digest_parse($_SERVER['PHP_AUTH_DIGEST'])) ||
!isset($users[$data['username']]))
die('Wrong Credentials!');// generate the valid response$A1=md5($data['username'] .':'.$realm.':'.$users[$data['username']]);$A2=md5($_SERVER['REQUEST_METHOD'].':'.$data['uri']);$valid_response=md5($A1.':'.$data['nonce'].':'.$data['nc'].':'.$data['cnonce'].':'.$data['qop'].':'.$A2);
if ($data['response'] !=$valid_response)
die('Wrong Credentials!');// ok, valid username & passwordecho'Your are logged in as: '.$data['username'];// function to parse the http auth headerfunctionhttp_digest_parse($txt)
{// protect against missing data$needed_parts= array('nonce'=>1,'nc'=>1,'cnonce'=>1,'qop'=>1,'username'=>1,'uri'=>1,'response'=>1);$data= array();preg_match_all('@(\w+)=([\'"]?)([a-zA-Z0-9=./\_-]+)\2@',$txt,$matches,PREG_SET_ORDER);
foreach ($matchesas$m) {$data[$m[1]] =$m[3];
unset($needed_parts[$m[1]]);
}
return$needed_parts?false:$data;
}?>
兼容性问题在编写 HTTP
标头代码时请格外小心。为了对所有的客户端保证兼容性,关键字“Basic”的第一个字母必须大写为“B”,分界字符串必须用双引号(不是单引号)引用;并且在标头行
HTTP/1.0 401 中,在 401 前必须有且仅有一个空格。
在以上例子中,仅仅只打印出了 PHP_AUTH_USER 和
PHP_AUTH_PW
的值,但在实际运用中,可能需要对用户名和密码的合法性进行检查。或许进行数据库的查询,或许从 dbm 文件中检索。
注意有些 Internet Explorer
浏览器本身有问题。它对标头的顺序显得似乎有点吹毛求疵。目前看来在发送
HTTP/1.0 401 之前先发送
WWW-Authenticate 标头似乎可以解决此问题。
自 PHP 4.3.0
起,为了防止有人通过编写脚本来从用传统外部机制认证的页面上获取密码,当外部认证对特定页面有效,并且&safemode;被开启时,PHP_AUTH
变量将不会被设置。但无论如何,REMOTE_USER
可以被用来辨认外部认证的用户,因此可以用
$_SERVER['REMOTE_USER'] 变量。
配置说明PHP 用是否有 AuthType 指令来判断外部认证机制是否有效。
注意,这仍然不能防止有人通过未认证的 URL 来从同一服务器上认证的 URL 上偷取密码。
Netscape Navigator 和 Internet Explorer 浏览器都会在收到 401
的服务端返回信息时清空所有的本地浏览器整个域的 Windows
认证缓存。这能够有效的注销一个用户,并迫使他们重新输入他们的用户名和密码。有些人用这种方法来使登录状态“过期”,或者作为“注销”按钮的响应行为。
强迫重新输入用户名和密码的 HTTP 认证的范例echo"You must enter a valid login ID and password to access this resource\n";
exit;
}
if (!isset($_SERVER['PHP_AUTH_USER']) ||
($_POST['SeenBefore'] ==1&&$_POST['OldAuth'] ==$_SERVER['PHP_AUTH_USER'])) {authenticate();
}
else {
echo"
Welcome:{$_SERVER['PHP_AUTH_USER']}
";
echo"Old:{$_REQUEST['OldAuth']}";
echo"
\n";echo"\n";
echo"\n";
echo"\n";
echo"
\n";}