在日常開發(fā)中，我們進(jìn)行用戶登錄的時(shí)候，大部分情況下都會(huì)使用 session 來保存用戶登錄信息，并以此為依據(jù)判斷用戶是否已登錄。但其實(shí) HTTP 也提供了這種登錄驗(yàn)證機(jī)制，我們今天就來學(xué)習(xí)關(guān)于 HTTP 驗(yàn)證相關(guān)的知識(shí)。

if (!isset($_SERVER[’PHP_AUTH_USER’])) { header(’WWW-Authenticate: Basic realm='My Realm'’); header(’HTTP/1.0 401 Unauthorized’); echo ’Text to send if user hits Cancel button’; exit;} else { echo '<p>Hello {$_SERVER[’PHP_AUTH_USER’]}.</p>'; echo '<p>You entered {$_SERVER[’PHP_AUTH_PW’]} as your password.</p>';}// Authorization: Basic YWFhOmFhYQ==echo base64_decode(’YWFhOmFhYQ==’);// aaa:aaa 等于明文

還是直接就從代碼入手，上面的代碼就是最簡(jiǎn)單的一種 HTTP 認(rèn)證方式，如果 $_SERVER[’PHP_AUTH_USER’] 不存在，那么我們就向?yàn)g覽器發(fā)送一個(gè) 401 響應(yīng)頭，就是告訴瀏覽器我們需要登錄驗(yàn)證。當(dāng)瀏覽器收到這個(gè)響應(yīng)頭時(shí)，就會(huì)彈出一個(gè)瀏覽器自帶的驗(yàn)證框并要求輸入用戶名和密碼。

當(dāng)我們填寫了用戶名和密碼后，瀏覽器會(huì)在請(qǐng)求頭中帶上 Authorization 字段，并且將 base64 之后的用戶名和密碼發(fā)送過來。同時(shí)，PHP將會(huì)分別把用戶名和密碼解析到_SERVER[’PHP_AUTH_USER’]和_SERVER[’PHP_AUTH_PW’] 中。

上述這種認(rèn)證方式就是最簡(jiǎn)單的 HTTP Basic 認(rèn)證，可以看出，這種方式進(jìn)行驗(yàn)證的用戶名和密碼其實(shí)是相當(dāng)于明文傳輸?shù)模驗(yàn)?base64 很容易就可以反向解析出來。所以這種方式是非常不安全的。那么有沒有更復(fù)雜一些的方式呢？

既然這么寫了，那肯定是有更好的方式啦，那就是 HTTP Digest 方式的 HTTP 認(rèn)證。

$realm = ’Restricted area’;//user => password$users = array(’admin’ => ’mypass’, ’guest’ => ’guest’);// 指定 Digest 驗(yàn)證方式if (empty($_SERVER[’PHP_AUTH_DIGEST’]) || !$_COOKIE[’login’]) { setcookie(’login’, 1); // 退出登錄條件判斷 header(’HTTP/1.1 401 Unauthorized’); header(’WWW-Authenticate: Digest realm='’ . $realm .’',qop='auth',nonce='’ . uniqid() . ’',opaque='’ . md5($realm) . ’'’);// 如果用戶不輸入密碼點(diǎn)了取消 die(’您點(diǎn)了取消，無法登錄’); }// 驗(yàn)證用戶登錄信息if (!($data = http_digest_parse($_SERVER[’PHP_AUTH_DIGEST’])) || !isset($users[$data[’username’]])) { die(’Wrong Credentials!’);}// 驗(yàn)證登錄信息$A1 = md5($data[’username’] . ’:’ . $realm . ’:’ . $users[$data[’username’]]);$A2 = md5($_SERVER[’REQUEST_METHOD’] . ’:’ . $data[’uri’]);$valid_response = md5($A1 . ’:’ . $data[’nonce’] . ’:’ . $data[’nc’] . ’:’ . $data[’cnonce’] . ’:’ . $data[’qop’] . ’:’ . $A2);// $data[’response’] 是瀏覽器客戶端的加密內(nèi)容if ($data[’response’] != $valid_response) { die(’Wrong Credentials!’);}// 用戶名密碼驗(yàn)證成功echo ’您的登錄用戶為: ’ . $data[’username’];setcookie('login', 2);// Authorization: Digest username='guest', realm='Restricted area', nonce='5e815bcbb4eba', uri='/', response='9286ea8d0fac79d3a95fff3e442d6d79', opaque='cdce8a5c95a1427d74df7acbf41c9ce0', qop=auth, nc=00000002, cnonce='a42e137359673851'// 服務(wù)器回復(fù)報(bào)文中的nonce值，加上username，password, http method, http uri利用MD5（或者服務(wù)器指定的其他算法）計(jì)算出request-digest，作為repsonse頭域的值// 獲取登錄信息function http_digest_parse($txt){ // echo $txt; // protect against missing data $needed_parts = array(’nonce’ => 1, ’nc’ => 1, ’cnonce’ => 1, ’qop’ => 1, ’username’ => 1, ’uri’ => 1, ’response’ => 1); $data = array(); $keys = implode(’|’, array_keys($needed_parts)); preg_match_all(’@(’ . $keys . ’)=(?:([’'])([^2]+?)2|([^s,]+))@’, $txt, $matches, PREG_SET_ORDER); foreach ($matches as $m) {$data[$m[1]] = $m[3] ? $m[3] : $m[4];unset($needed_parts[$m[1]]); } return $needed_parts ? false : $data;}if($_GET[’logout’]){ setcookie('login', 0); header('Location: /');}

從代碼量就可以看出這種方式復(fù)雜了很多。首先是我們一樣需要在未登錄的情況下返回 401 響應(yīng)頭，告訴瀏覽器我們要進(jìn)行 Digest 認(rèn)證。這里 header 信息就有不一樣的地方了，格式是 Digest ，內(nèi)容也比 Basic 多了許多，這些多出來的內(nèi)容都是我們?cè)隍?yàn)證認(rèn)證內(nèi)容的時(shí)候需要用到的。

接著，瀏覽器一樣是會(huì)彈出輸入用戶名和密碼的彈窗。然后將加密后的用戶名和密碼信息提交上來。我們可以看到返回值里有明文的 username ，但是沒有明文的密碼了。其實(shí)密碼是通過 username 、 密碼 、 nonce 、 nc 、 cnoce 、cop 、$_SERVER[’REQUEST_METHOD’] 、 uri 等這些內(nèi)容進(jìn)行 md5 加密后生成的，放在了 response 字段中提交了上來。我們也需要按照同樣的規(guī)則獲得加密后的密碼進(jìn)行比對(duì)就可以判定用戶名和密碼正確從而讓用戶完成正常的登錄流程。

在這段代碼中，我們加入了一個(gè) cookie ，是為了做退出登錄的判斷使用的。因?yàn)?HTTP 認(rèn)證這種形式的過期時(shí)間是以瀏覽器為基準(zhǔn)的。也就是如果客戶端關(guān)閉了瀏覽器，則客戶端瀏覽器內(nèi)存中保存的用戶名和密碼才會(huì)消失。這種情況下我們只能通過 cookie 來進(jìn)行退出登錄的操作，如果用戶退出登錄了就改變這個(gè) cookie 的內(nèi)容并重新發(fā)送 401 響應(yīng)頭給瀏覽要求重新登錄。

HTTP 驗(yàn)證的這種操作一般不會(huì)做為我們?nèi)粘ｉ_發(fā)中的正常登錄功能，大部分情況下，我們會(huì)給后臺(tái)或者一些特殊的管理工具加上一層這種 HTTP 認(rèn)證來實(shí)現(xiàn)雙重的認(rèn)證，也就是為了保障后臺(tái)的數(shù)據(jù)安全。比如，我會(huì)在我的 phpMyAdmin 上增加一層這個(gè)認(rèn)證。另外，HTTP 認(rèn)證也可以直接在 Nginx 或 Apache 中直接配置，不需要走到 PHP 這一層來，這個(gè)我們將來學(xué)習(xí) Nginx 的時(shí)候會(huì)再做說明。

測(cè)試代碼： github.com/zhangyue050…

以上就是PHP如何實(shí)現(xiàn)HTTP驗(yàn)證的詳細(xì)內(nèi)容，更多關(guān)于PHP HTTP驗(yàn)證的資料請(qǐng)關(guān)注好吧啦網(wǎng)其它相關(guān)文章！