0

目前,我的服务器上包含 SSL。想要强制我的用户通过 https 使用登录页面登录。

<?php

  if (empty($_SERVER['https']) || $_SERVER['https'] != 'on') {
    header('location: https://my_login_page');
    exit();
    }

  # rest of code
  ...

但是当没有 SSL 时,这是一个问题。

现在我有情况了。用户请求以下 URL

http://domain.com/login.php

在这里,我无法访问$_SERVER['https']并希望确保可以将用户重定向到

https://domain.com/login.php

例如,SSL 证书会在一段时间后过期,并希望让用户使用不带安全连接的登录。

我的目标是这样的例子:

if (ssl_installed() && (empty($_SERVER['https']) || $_SERVER[] != 'on')) {
  header('location: https://domain.com/login.php');
  exit();
  }

# when there's no SSL it continues using HTTP

是的,想编写函数(例如:),它在可能使用安全连接时ssl_installed()返回true,否则false

我试过使用get_headers()并意识到它总是对https://链接返回错误。

可能的解决方案:

我已经有工作解决方案。我的数据库中的配置表包含行ssl=1(或 0),在建立数据库连接后,我使用这个值来决定是否可以使用 SSL,上面提到的函数使用这个值来返回结果。

我的问题是:有没有更简单的解决方案?

需要明确的是:我正在寻找仅限 PHP 的解决方案(自动检测)!

任何帮助,将不胜感激。

4

3 回答 3

5

您可以在配置文件中执行类似的操作,而不是编辑每个脚本。

<?php

// will match /login.php and /checkout.php as examples
$force_ssl = preg_match('/\/(login|checkout)\.php(.+)?/', $_SERVER['REQUEST_URI']);
$using_ssl = (isset($_SERVER['HTTPS']) && !empty($_SERVER['HTTPS']) ? true : false;

$url = $_SERVER['HTTP_HOST'] . $_SERVER['REQUEST_URI'];

if ($force_ssl && !$using_ssl) {

    // redirect to SSL
    header('Location: https://' . $url);

} elseif (!$force_ssl && $using_ssl) {

    // redirect back to normal
    header('Location: http://' . $url);

}

然后,如果您的证书过期,只需在您的配置文件中设置$force_sslfalse,它就会处理以前重定向的每个脚本。

现在问题已经澄清,您可以创建一个这样的 PHP 脚本(代码取自https://stackoverflow.com/a/4741196/654678

<?php

// get and check certificate
$get = stream_context_create(array("ssl" => array("capture_peer_cert" => TRUE)));
$read = stream_socket_client("ssl://www.google.com:443", $errno, $errstr, 30, STREAM_CLIENT_CONNECT, $get);
$cert = stream_context_get_params($read);

$valid = ($cert["options"]["ssl"]["peer_certificate"] != NULL) ? true : false;

// save validity in database or somewhere else accessible

然后设置一个 crontab,或每日任务或任何每天点击该 PHP 脚本的东西。如果没有证书,它将返回 NULL 并标记为无效。用你的脚本检查有效性,你就可以开始了。

于 2013-02-27T09:36:45.983 回答
1

我认为您可以使用 htaccess 解决这个问题,这两个条件可能会有所帮助

  • RewriteCond %{HTTP:X-Forwarded-SSL} on
  • RewriteCond %{HTTPS} 开启

有关更多信息,请参阅此答案:https ://stackoverflow.com/a/1128624/1712686

于 2013-02-27T09:23:53.330 回答
0 
/**
 * Return true if HTTPS enabled  otherwise return false
 */
function check_ssl() {
  if ( isset( $_SERVER['HTTPS'] ) ) {
    if ( 'on' == strtolower( $_SERVER['HTTPS'] ) ) {
      return true;
    } elseif ( '1' == $_SERVER['HTTPS'] ) {
      return true;
    }
  }

  if ( isset( $_SERVER['SERVER_PORT'] )
    && ( '443' == $_SERVER['SERVER_PORT'] ) 
  ) {
    return true;
  }

  return false;
}
于 2019-03-07T09:42:13.547 回答