Autentificare HTTP cu php

caraboy · Post by **caraboy** » Sat Mar 25, 2006 2:06 pm

Am urmatorul script php pentru a permite accesul unui utilizator pe o pagina cu autentificare de tip HTTP:


    function authlogin( $sent_user='', $sent_password='', $login_message='' ) { 

        global $auth_user;
        global $auth_password;

        if ( ! $login_message ) { 
            $login_message = "Autentificare sectiune administrare";
        }

        if ( $sent_user && $sent_password ) { 
             $auth_user = $sent_user;
             $auth_password = $sent_password; 
        }

        $entered_user = $_SERVER['PHP_AUTH_USER'];
        $entered_password = $_SERVER['PHP_AUTH_PW'];

        if (!isset($entered_user)) {

            header("WWW-Authenticate: Basic realm=\"$login_message\"");
            header("HTTP/1.0 401 Unauthorized");

            login_error();
        }
        else {

            //testeaza user si pass
            if( $entered_user == $auth_user && $entered_password == $auth_password ) {
               return;
            }
            else {
               
                header( "WWW-Authenticate: Basic realm=\"$login_message\"");
                header("HTTP/1.0 401 Unauthorized");
                login_error( );
            }
        } 

    }

    function logout() 
	{ 
       unset($_SERVER['PHP_AUTH_USER'] ); 
       unset($_SERVER['PHP_AUTH_PW'] );
       unset($_SERVER['HTTP_AUTHORIZATION']);
	   session_start();
       session_unset();
       session_destroy();
       echo "Sesiune curatata";
       exit;
    }

    function login_error() {
       echo "Nu aveti acces";
       exit;
    }

Apelez scriptul in header de forma authlogin(user_de_verificat, parola_de_verificat, mesaj_realm); si daca parola si user-ul corespund, permit accesul. Care este problema: pentru a sterge user-ul si pass-ul (deci pentru a face logout) folosesc functia logout in care dau unset la variabilele $_SERVER['PHP_AUTH_USER'] si $_SERVER['PHP_AUTH_PW'] pentru a cere din nou user si pass (am pus si session_unset si destroy, just in case). Problema e ca nu merge, desi functia se apeleaza, afiseaza Sesiune curatata, eu tot pot accesa pagina respectiva daca o tastez in browser. Trebuie sa inchid browser-ul si sa-l repornesc. Care este buba?

r4zv4n · Post by **r4zv4n** » Sat Mar 25, 2006 2:57 pm

Nu ştiu PHP, dar ce descrii tu acolo îmi sună a problemă de browser caching.

În ASP poţi seta ca o anumită pagină să nu intre în cache (i.e. să expire imediat). Caută o asemenea directivă şi în PHP şi vezi dc îţi rezolvă problema.

caraboy · Post by **caraboy** » Sat Mar 25, 2006 5:38 pm

Tot nu merge.

Am adaugat header('Pragma: no-cache'); in header, in fisierul care include scriptul de autentificare si tot nu merge.

caraboy · Post by **caraboy** » Sat Mar 25, 2006 6:07 pm

Am rezolvat partial problema cu adaugarea in header-ul care e inclus in fiecare pagina de administrare a codului:

Code: Select all

header('Cache-Control: no-store, no-cache, must-revalidate');
header('Cache-Control: post-check=0, pre-check=0', FALSE);
header('Pragma: no-cache');

De ce partial? Pentru ca FireFox tot tine minte sesiunea, desi primeste header-ele de no-cache.

E prima data cand IE nu-mi face probleme.

Idei?

iLogiK · Post by **iLogiK** » Sat Mar 25, 2006 6:35 pm

o cautare pe google da cateva rezultate printre care si

Code: Select all

Header( "Last-Modified: " . gmdate( "D, j M Y H:i:s" ) . " GMT" );
Header( "Expires: " . gmdate( "D, j M Y H:i:s", time() ) . " GMT" );
Header( "Cache-Control: no-store, no-cache, must-revalidate" );  // HTTP/1.1
Header( "Cache-Control: post-check=0, pre-check=0", FALSE );
Header( "Pragma: no-cache" );                          // HTTP/1.0

incearca asa

caraboy · Post by **caraboy** » Sat Mar 25, 2006 6:39 pm

Tot de pe google am luat si eu.

) Nimic.. mai rau, in IE, in fiecare pagina care include chestia de autentificare imi cere user si pass.

) Da, cred ca trec pe sesiuni, ca nu e o solutie chestia asta.

caraboy · Post by **caraboy** » Sun Mar 26, 2006 8:04 pm

Nu-mi dau seama cum au rezolvat cei de la phpMyAdmin.. acolo merge fara probleme HTTP auth.

Morrison · Post by **Morrison** » Mon Mar 27, 2006 11:48 pm

Tot php.net e salvarea

. http://www.php.net/manual/en/features.http-auth.php

caraboy · Post by **caraboy** » Tue Mar 28, 2006 9:25 pm

Crezi ca nu m-am uitat acolo...

De acolo m-am inspirat si pentru script. Dar problema e cachingul de la firefox! Am folosit sesiuni pana la urma.

Morrison · Post by **Morrison** » Tue Mar 28, 2006 9:28 pm

Eehh am incercat si io

whiskey · Post by **whiskey** » Thu Apr 20, 2006 3:31 pm

Inlocuieste in functia de logout:

Code: Select all

unset($_SERVER['PHP_AUTH_USER'] ); 
unset($_SERVER['PHP_AUTH_PW'] ); 
unset($_SERVER['HTTP_AUTHORIZATION']);

cu:

Code: Select all

header("HTTP/1.0 401 Unauthorized");

Teoretic ar trebui sa functioneze. Cred. Daca merge, afla ca tot manualul PHP te ajuta

caraboy · Post by **caraboy** » Thu Apr 20, 2006 8:32 pm

Nu merge. Ca am mai multe pagini de navigare si tot se retine sectiunea.

Am rezolvat cu sesiuni. Am consultat si manualul, nu m-a ajutat.

SmileX · Post by **SmileX** » Thu Apr 20, 2006 9:30 pm

nu e mai usor daca folosesti sesiuni?

whiskey · Post by **whiskey** » Fri Apr 21, 2006 12:27 pm

E mai usor daca folosesti sesiuni, intr-adevar, dar numai daca ai nevoie de ele (nu pentru protejarea paginilor - de!, poate nu am inteles eu rolul sesiunilor; oricum privesc altfel lucrurile) si, mai ales, daca stii sa le folosesti

. Daca nu ma insel, antetul respectiv goleste variabilele (recte trimete un raspuns browserului cum ca utilizatorul nu e autorizat si, teoretic, ar trebui sa goleasca variabilele). Eventual poti face o chestie de genul $var = ''. Dar nu am incercat si, deci, nu bag mana in foc ca functioneaza. Nu am incercat pentru ca am alta solutie. Dar vad ca te descurci si asa