我正在开发一个新的应用程序,并决定使用基本身份验证来保护云登台服务器。
我使用的是nginx,所以配置如下:
location / {
auth_basic "Restricted";
auth_basic_user_file .htpasswd;
try_files $uri $uri/ @php_mvc;
}
我的MVC应用程序还有一个" admin"模块,使用HTTP摘要保护:
$realm = 'Access Restricted.';
$nonce = md5(uniqid());
$opaque = md5(uniqid());
$valid = false;
$headers = System::getallheaders();
if (array_key_exists('Authorization', $headers)) {
$authHeader = substr($headers['Authorization'], strlen('Digest'));
$parsed = array();
foreach (explode(',', $authHeader) as $pair) {
if (substr(trim($pair), 0, 4) == ($_u = 'uri=')) {
$parsed[substr($_u, 0, -1)] = trim(substr($pair, 5), ' "');
} else {
$vals = explode('=', $pair);
$parsed[trim($vals[0])] = trim($vals[1], '" ');
}
}
$A1 = md5(self::DIGEST_USERNAME . ':' . $parsed['realm'] . ':' . self::DIGEST_PASSWORD);
$A2 = md5($_SERVER['REQUEST_METHOD'] . ':' . $parsed['uri']);
$response = md5($A1 . ':' . $parsed['nonce'] . ':' . $A2);
$valid = ($response == $parsed['response']);
}
if (!$valid) {
header('HTTP/1.1 401 Unauthorized');
header('Content-Type: text/html');
header(sprintf('WWW-Authenticate: Digest realm="%s", nonce="%s", opaque="%s"', $realm, $nonce, $opaque));
echo 'Access denied.';
exit();
}
...
function getallheaders()
{
$headers = null;
foreach ($_SERVER as $name => $value) {
if (substr($name, 0, 5) == 'HTTP_') {
$name = str_replace(' ', '-', ucwords(strtolower(str_replace('_', ' ', substr($name, 5)))));
$headers[$name] = $value;
} else if ($name == 'CONTENT_TYPE') {
$headers['Content-Type'] = $value;
} else if ($name == 'CONTENT_LENGTH') {
$headers['Content-Length'] = $value;
}
}
return $headers;
}
所以,问题在于基于PHP的摘要式身份验证不起作用,因为那时的$ _SERVER [' HTTP_AUTHORIZATION']已经被基本身份验证的结果占用了:$ _SERVER [&#39 ; HTTP_AUTHORIZATION'] ="基本S1aGUzpuZXzzdXRl"。
有没有办法将基本和&的结果分开?消化认证?
谢谢!
答案 0 :(得分:0)
没有。您需要在服务器和后端使用相同的身份验证机制(这不适用于所有机制),或者在其中一方上关闭身份验证。
后者意味着要么在后端关闭它,只要信任服务器提供的用户名(在这种情况下可以绕过内部网络中的身份验证),或者在服务器端关闭它并让后端完成这项工作。
如果你甚至想在服务器和后端使用不同的用户名/密码(并且用户必须输入它们),你唯一的选择是在后端实现基于html / cookie / session的登录页面。在服务器端使用基于http的身份验证