Вихід із аутентифікації HTTP через PHP

Який правильний спосіб вийти із захищеної папки аутентифікації HTTP?

Існують способи вирішення, які можуть цього досягти, але вони потенційно небезпечні, оскільки можуть бути помилковими або не працювати в певних ситуаціях / браузерах. Ось чому я шукаю правильне та чисте рішення.

Му. Не існує жодного правильного способу , навіть такого, який відповідає веб-переглядачам.

Це проблема, що виникає із специфікації HTTP (розділ 15.6):

Існуючі HTTP-клієнти та користувацькі агенти зазвичай зберігають інформацію про автентифікацію на невизначений термін. HTTP / 1.1. не забезпечує сервер методом спрямування клієнтів для відмови від цих кешованих даних.

З іншого боку, розділ 10.4.2 говорить:

Якщо запит вже включав в себе дані авторизації, відповідь 401 вказує на те, що авторизація відхилена для цих даних. Якщо відповідь 401 містить такий самий виклик, що і попередня відповідь, і користувальницький агент вже намагався перевірити автентифікацію хоча б один раз, тоді користувачеві ПОТРІБНО представити сутність, яку було надано у відповіді, оскільки ця сутність може містити відповідну діагностичну інформацію.

Іншими словами, ви, можливо, зможете знову показати поле для входу (як говорить @Karsten ), але браузер не повинен шанувати ваш запит - тому не надто залежно від цієї (неправильної) функції.

Метод, який прекрасно працює в Safari. Також працює у Firefox та Opera, але з попередженням.

Location: http://logout@yourserver.example.com/

Це повідомляє браузеру відкривати URL-адресу з новим ім'ям користувача, переосмислюючи попереднє.

Проста відповідь полягає в тому, що ви не можете надійно вийти з http-аутентифікації.

Довга відповідь:
Http-auth (як і решта HTTP-специфікації) повинен бути без громадянства. Тож "вхід у систему" або "вихід із системи" насправді не є концепцією, яка має сенс. Кращий спосіб бачити це - запитувати для кожного HTTP запиту (і пам’ятайте, що завантаження сторінки зазвичай є декількома запитами), "чи вам дозволяється робити те, що ви запитуєте?". Сервер розглядає кожен запит як новий і не пов'язаний з будь-якими попередніми запитами.

Браузери вирішили запам’ятати облікові дані, які ви їм повідомляєте на перші 401, і повторно надішліть їх без явного дозволу користувача на наступні запити. Це спроба дати користувачеві модель "увійшов / вийшов", яку вони очікують, але це суто хитрощі. Це браузер, який моделює цю стійкість держави. Веб-сервер про це абсолютно не знає.

Отже, "вихід із системи" в контексті http-auth - це суто моделювання, що надається браузером, і так поза межами повноважень сервера.

Так, є хитрощі. Але вони порушують RESTful-ness (якщо це для вас цінно) і вони ненадійні.

Якщо вам абсолютно потрібна модель для входу / виходу з системи для аутентифікації вашого сайту, найкраща ставка - це відстежуючий файл cookie з збереженням стану, який зберігається на сервері певним чином (mysql, sqlite, flatfile тощо). Це вимагатиме оцінки всіх запитів, наприклад, за допомогою PHP.

Обхід

Це можна зробити за допомогою Javascript:

<html><head>
<script type="text/javascript">
function logout() {
    var xmlhttp;
    if (window.XMLHttpRequest) {
          xmlhttp = new XMLHttpRequest();
    }
    // code for IE
    else if (window.ActiveXObject) {
      xmlhttp=new ActiveXObject("Microsoft.XMLHTTP");
    }
    if (window.ActiveXObject) {
      // IE clear HTTP Authentication
      document.execCommand("ClearAuthenticationCache");
      window.location.href='/where/to/redirect';
    } else {
        xmlhttp.open("GET", '/path/that/will/return/200/OK', true, "logout", "logout");
        xmlhttp.send("");
        xmlhttp.onreadystatechange = function() {
            if (xmlhttp.readyState == 4) {window.location.href='/where/to/redirect';}
        }


    }


    return false;
}
</script>
</head>
<body>
<a href="#" onclick="logout();">Log out</a>
</body>
</html>

Що робиться вище:

• для IE - просто очистіть кеш аут та кудись переспрямуйте

• для інших браузерів - надішліть XMLHttpRequest за лаштунками з ім'ям для входу та паролем "вихід". Нам потрібно відправити його в якийсь шлях, який поверне 200 ОК до цього запиту (тобто він не повинен вимагати аутентифікації HTTP).

Замініть '/where/to/redirect'деякий шлях для переадресації після виходу з системи та замініть '/path/that/will/return/200/OK'деякий шлях на вашому сайті, який поверне 200 ОК.

Обхідне (не чисте, приємне (або навіть працююче! Див. Коментарі) рішення):

Вимкніть його облікові дані один раз.

Ви можете перемістити свою логіку автентифікації HTTP на PHP, надіславши відповідні заголовки (якщо вони не увійшли):

Header('WWW-Authenticate: Basic realm="protected area"');
Header('HTTP/1.0 401 Unauthorized');

І розбираємо вхід з:

$_SERVER['PHP_AUTH_USER'] // httpauth-user
$_SERVER['PHP_AUTH_PW']   // httpauth-password

Тож відключення його повноважень одноразово повинно бути банальним.

Вихід із HTTP Basic Auth в два етапи

Скажімо, у мене є сфера HTTP Basic Auth під назвою "Захищений паролем", і увійшов Боб. Щоб вийти, я роблю 2 запити AJAX:

1. Сценарій доступу / logout_step1. Він додає до .htusers випадкового тимчасового користувача та відповідає своїм логіном та паролем.
2. Сценарій доступу / logout_step2, автентифікований з тимчасовим входом користувача та паролем . Сценарій видаляє тимчасового користувача та додає це заголовок у відповідь:WWW-Authenticate: Basic realm="Password protected"

У цей момент браузер забув облікові дані Боба.

Моє рішення проблеми полягає в наступному. Ви можете знайти функцію http_digest_parse, $realmі $usersв другому прикладі цієї сторінки: http://php.net/manual/en/features.http-auth.php .

session_start();

function LogOut() {
  session_destroy();
  session_unset($_SESSION['session_id']);
  session_unset($_SESSION['logged']);

  header("Location: /", TRUE, 301);   
}

function Login(){

  global $realm;

  if (empty($_SESSION['session_id'])) {
    session_regenerate_id();
    $_SESSION['session_id'] = session_id();
  }

  if (!IsAuthenticated()) {  
    header('HTTP/1.1 401 Unauthorized');
    header('WWW-Authenticate: Digest realm="'.$realm.
   '",qop="auth",nonce="'.$_SESSION['session_id'].'",opaque="'.md5($realm).'"');
    $_SESSION['logged'] = False;
    die('Access denied.');
  }
  $_SESSION['logged'] = True;  
}

function IsAuthenticated(){
  global $realm;
  global $users;


  if  (empty($_SERVER['PHP_AUTH_DIGEST']))
      return False;

  // check PHP_AUTH_DIGEST
  if (!($data = http_digest_parse($_SERVER['PHP_AUTH_DIGEST'])) ||
     !isset($users[$data['username']]))
     return False;// invalid username


  $A1 = md5($data['username'] . ':' . $realm . ':' . $users[$data['username']]);
  $A2 = md5($_SERVER['REQUEST_METHOD'].':'.$data['uri']);

  // Give session id instead of data['nonce']
  $valid_response =   md5($A1.':'.$_SESSION['session_id'].':'.$data['nc'].':'.$data['cnonce'].':'.$data['qop'].':'.$A2);

  if ($data['response'] != $valid_response)
    return False;

  return True;
}

Як правило, після того, як браузер запитає у користувача облікові дані та надав їх на певний веб-сайт, він буде продовжувати це робити без додаткового підказки. На відміну від різних способів очищення файлів cookie на стороні клієнта, я не знаю подібного способу попросити браузер забути надані йому автентифікаційні дані.

Trac - за замовчуванням також використовує HTTP-аутентифікацію. Вихід не працює і його неможливо виправити:

• Це проблема з самою схемою аутентифікації HTTP, і ми не можемо зробити нічого в Trac, щоб правильно її виправити.
• Наразі не існує способу вирішення (JavaScript чи іншого), який би працював із усіма основними браузерами.

Від: http://trac.edgewall.org/ticket/791#comment:103

Схоже, що немає жодної робочої відповіді на питання, про це питання повідомлялося сім років тому, і це має ідеальний сенс: HTTP є без громадянства. Або запит робиться з використанням облікових даних аутентифікації, або ні. Але це справа клієнта, який надсилає запит, а не сервера, який його отримує. Сервер може сказати, лише якщо URI запиту потребує авторизації чи ні.

Мені потрібно було скинути авторизацію .htaccess, тому я використав це:

<?php
if (!isset($_SERVER['PHP_AUTH_USER'])) {
    header('WWW-Authenticate: Basic realm="My Realm"');
    header('HTTP/1.0 401 Unauthorized');
    echo 'Text to send if user hits Cancel button';
    exit;
}
?>

Знайдено його тут: http://php.net/manual/en/features.http-auth.php

Піди розберися.

Ряд рішень знаходиться на цій сторінці, і це навіть відзначає внизу: Lynx, не очищає аутентифікацію, як і інші браузери;)

Я перевірив це на своїх встановлених браузерах і після закриття, кожен браузер здається, що він послідовно вимагає відновлення повторної роботи.

Це може бути не рішення, яке шукали, але я вирішив це так. У мене є 2 сценарії для процесу виходу.

logout.php

<?php
header("Location: http://.@domain.com/log.php");
?>

log.php

<?php
header("location: https://google.com");
?>

Таким чином я не отримую попередження, і мій сеанс припиняється

AFAIK, немає чіткого способу реалізувати функцію "вихід" при використанні аутентифікації htaccess (тобто на основі HTTP).

Це пояснюється тим, що для такої автентифікації використовується код помилки HTTP '401', щоб повідомити браузеру, що потрібні облікові дані, і в цей момент браузер запитує користувача на деталі. З цього моменту, поки браузер не закриється, він завжди надсилатиме облікові дані, не вимагаючи додаткових запитів.

Найкраще рішення, яке я знайшов до цього часу (це псевдокод, $isLoggedInце псевдозмінна для http auth):

Під час "виходу" просто збережіть інформацію про сеанс, яка говорить про те, що користувач фактично вийшов із системи.

function logout()
{
  //$isLoggedIn = false; //This does not work (point of this question)
  $_SESSION['logout'] = true;
}

У місці, де я перевіряю на аутентифікацію, я розширюю умову:

function isLoggedIn()
{
  return $isLoggedIn && !$_SESSION['logout'];
}

Сесія дещо пов’язана зі станом http-аутентифікації, тому користувач залишається в режимі виходу доти, доки він підтримує браузер відкритим і до тих пір, поки автентифікація http зберігається у веб-переглядачі.

Можливо, я пропускаю суть.

Найбільш надійний спосіб, який я виявив, щоб закінчити аутентифікацію HTTP - це закрити браузер і всі вікна браузера. Ви можете закрити вікно браузера за допомогою Javascript, але я не думаю, що ви можете закрити всі вікна браузера.

Єдиний ефективний спосіб я викреслити облікові дані PHP_AUTH_DIGESTабо PHP_AUTH_USERІ PHP_AUTH_PW- це викликати заголовок HTTP/1.1 401 Unauthorized.

function clear_admin_access(){
    header('HTTP/1.1 401 Unauthorized');
    die('Admin access turned off');
}

Хоча інші вірно стверджують, що неможливо вийти з основної http аутентифікації, є способи реалізувати автентифікацію, яка веде себе аналогічно. Одним із очевидних задатків є використання auth_memcookie . Якщо ви дійсно хочете реалізувати базову автентифікацію HTTP (тобто використовувати діалогове вікно браузера для входу в трафір, ніж форма HTTP), використовуючи це - просто встановіть автентифікацію на окремий захищений .htaccess каталог, що містить сценарій PHP, який перенаправляє туди, куди прийшов користувач після створення сеансу memcache.

Тут є багато чудових - складних відповідей. У моєму конкретному випадку я знайшов чисте та просте виправлення для виходу. Мені ще потрібно випробувати в Edge. На своїй сторінці, на якій я увійшов, я розмістив посилання на вихід, подібне до цього:

<a href="https://MyDomainHere.net/logout.html">logout</a>

І в голові цієї сторінки logout.html (яка також захищена .htaccess) у мене є оновлення сторінки, подібне до цього:

<meta http-equiv="Refresh" content="0; url=https://logout:logout@MyDomainHere.net/" />

Там, де ви залишите слова "вихід", щоб очистити ім'я користувача та пароль, кешовані для сайту.

Я визнаю, що якщо для початку прямого входу в систему потрібно кілька сторінок, для кожної з цих точок входу знадобиться своя відповідна сторінка logout.html. В іншому випадку ви можете централізувати вихід із системи, ввівши додатковий крок воротаря в процес перед фактичним запитом входу, вимагаючи введення фрази для досягнення пункту призначення для входу.