Функция header() умеет
отправлять в браузер сообщение «Требуется аутентификация»
и при этом заставляет браузер показывать всплывающее окно ввода имени пользователя
и пароля. Как только пользователь заполнит логин и пароль,
браузер снова вызовет URL-адрес с названием PHP-скрипта, но уже
с предопределёнными переменными:
для переменной PHP_AUTH_USER PHP установит значение имени пользователя,
для переменной PHP_AUTH_PW — пароль,
а для AUTH_TYPE — тип
аутентификации. Эти предопределённые переменные содержит суперглобальный массив
$_SERVER. PHP поддерживает только
Basic-метод аутентификации. Дополнительную информацию даёт описание
функции header().
Пример фрагмента скрипта, который вынуждает клиента авторизоваться для просмотра страницы:
Пример #1 Пример HTTP-аутентификации с типом Basic
<?php
if (!isset($_SERVER['PHP_AUTH_USER'])) {
header('HTTP/1.1 401 Unauthorized');
header('WWW-Authenticate: Basic realm="My Realm"');
echo 'Текст, который скрипт отправит,
если пользователь нажмёт кнопку «Отмена»';
exit;
} else {
echo "<p>Hello {$_SERVER['PHP_AUTH_USER']}.</p>";
echo "<p>Вы ввели пароль: {$_SERVER['PHP_AUTH_PW']}.</p>";
}
?>Замечание: Совместимость
При определении HTTP-заголовков соблюдают осторожность. Слово "Basic" требуется писать с заглавной буквы "B", значение для ключа realm берут в двойные, но не одинарные кавычки, а перед кодом 401 в строке заголовка HTTP/1.1 401 указывают ровно один пробел, чтобы гарантировать максимальную совместимость с клиентами. Параметры аутентификации разделяют запятыми.
Вместо простого вывода значений переменных PHP_AUTH_USER и PHP_AUTH_PW, как это сделал приведённый пример, программист может проверить правильность имени пользователи и пароля через базу данных или через поиск пользователя в dbm-файле.
Замечание: Настройка Apache
PHP использует директиву
AuthType, чтобы определить, действует ли внешняя аутентификация.
Однако обратите внимание, что это не мешает тому, кто контролирует неаутентифицированный URL-адрес, воровать пароли от аутентифицированных URL-адресов на том же сервере.
Замечание: Поведение браузеров
Basic-аутентификация по HTTP действительно простая (basic) и не была рассчитана на поддержку выхода из системы. Поскольку HTTP — это протокол без сохранения состояния, большинство браузеров кешируют переданные учётные данные сразу же, как только получат код состояния2xx, и отправляют их в каждом запросе, пока браузер не закроют. Определённого способа, которым сервер мог бы запросить повторный ввод учётных данных, не существует. За прошедшие годы в интернете в качестве советов разошлись разные обходные приёмы, но все они зависят от того, как разные браузеры решили обрабатывать неопределённые крайние случаи (или даже нарушения стандарта HTTP). Лучше избегать таких приёмов и не использовать Basic-аутентификацию для чего-либо серьёзного.
Замечание: Настройка IIS
Чтобы HTTP-аутентификация работала на IIS-сервере с CGI-версией PHP, для php.ini-директивы cgi.rfc2616_headers требуется установить значение0(значение по умолчанию), а также отредактировать опцию конфигурации IIS-сервера "Directory Security". Щёлкните «Изменить» и поставьте галочку только в поле «Анонимный доступ», остальные поля остаются неотмеченными.