array ( 0 => 'index.php', 1 => 'PHP Manual', ), 'head' => array ( 0 => 'UTF-8', 1 => 'ru', ), 'this' => array ( 0 => 'features.http-auth.php', 1 => 'HTTP-аутентификация в PHP', 2 => 'HTTP-аутентификация в PHP', ), 'up' => array ( 0 => 'features.php', 1 => 'Особенности', ), 'prev' => array ( 0 => 'features.php', 1 => 'Особенности', ), 'next' => array ( 0 => 'features.cookies.php', 1 => 'Cookies', ), 'alternatives' => array ( ), 'source' => array ( 'lang' => 'ru', 'path' => 'features/http-auth.xml', ), 'history' => array ( ), ); $setup["toc"] = $TOC; $setup["toc_deprecated"] = $TOC_DEPRECATED; $setup["parents"] = $PARENTS; manual_setup($setup); contributors($setup); ?>

HTTP-аутентификация в PHP

Функция header() умеет отправлять в браузер сообщение «Требуется аутентификация» и при этом заставляет браузер показывать всплывающее окно ввода имени пользователя и пароля. Как только пользователь заполнит логин и пароль, браузер снова вызовет URL-адрес с названием PHP-скрипта, но уже с предопределёнными переменными: для переменной PHP_AUTH_USER PHP установит значение имени пользователя, для переменной PHP_AUTH_PW — пароль, а для AUTH_TYPE — тип аутентификации. Эти предопределённые переменные содержит суперглобальный массив $_SERVER. PHP поддерживает только Basic-метод аутентификации. Дополнительную информацию даёт описание функции header().

Пример фрагмента скрипта, который вынуждает клиента авторизоваться для просмотра страницы:

Пример #1 Пример HTTP-аутентификации с типом Basic

<?php

if (!isset($_SERVER['PHP_AUTH_USER'])) {
header('HTTP/1.1 401 Unauthorized');
header('WWW-Authenticate: Basic realm="My Realm"');

echo 'Текст, который скрипт отправит,
если пользователь нажмёт кнопку «Отмена»';
exit;
} else {
echo "<p>Hello {$_SERVER['PHP_AUTH_USER']}.</p>";
echo "<p>Вы ввели пароль: {$_SERVER['PHP_AUTH_PW']}.</p>";
}

?>

Замечание: Совместимость

При определении HTTP-заголовков соблюдают осторожность. Слово "Basic" требуется писать с заглавной буквы "B", значение для ключа realm берут в двойные, но не одинарные кавычки, а перед кодом 401 в строке заголовка HTTP/1.1 401 указывают ровно один пробел, чтобы гарантировать максимальную совместимость с клиентами. Параметры аутентификации разделяют запятыми.

Вместо простого вывода значений переменных PHP_AUTH_USER и PHP_AUTH_PW, как это сделал приведённый пример, программист может проверить правильность имени пользователи и пароля через базу данных или через поиск пользователя в dbm-файле.

Замечание: Настройка Apache

PHP использует директиву AuthType, чтобы определить, действует ли внешняя аутентификация.

Однако обратите внимание, что это не мешает тому, кто контролирует неаутентифицированный URL-адрес, воровать пароли от аутентифицированных URL-адресов на том же сервере.

Замечание: Поведение браузеров
Basic-аутентификация по HTTP действительно простая (basic) и не была рассчитана на поддержку выхода из системы. Поскольку HTTP — это протокол без сохранения состояния, большинство браузеров кешируют переданные учётные данные сразу же, как только получат код состояния 2xx, и отправляют их в каждом запросе, пока браузер не закроют. Определённого способа, которым сервер мог бы запросить повторный ввод учётных данных, не существует. За прошедшие годы в интернете в качестве советов разошлись разные обходные приёмы, но все они зависят от того, как разные браузеры решили обрабатывать неопределённые крайние случаи (или даже нарушения стандарта HTTP). Лучше избегать таких приёмов и не использовать Basic-аутентификацию для чего-либо серьёзного.

Замечание: Настройка IIS
Чтобы HTTP-аутентификация работала на IIS-сервере с CGI-версией PHP, для php.ini-директивы cgi.rfc2616_headers требуется установить значение 0 (значение по умолчанию), а также отредактировать опцию конфигурации IIS-сервера "Directory Security". Щёлкните «Изменить» и поставьте галочку только в поле «Анонимный доступ», остальные поля остаются неотмеченными.