0

我正在开发一个新应用程序,并决定使用基本身份验证保护云登台服务器。

我正在使用 nginx,所以配置如下所示:

location / {
  auth_basic "Restricted";
  auth_basic_user_file .htpasswd;
  try_files $uri $uri/ @php_mvc;
}

我的 MVC 应用程序还有一个“管理”模块,它使用 HTTP Digest 进行保护:

$realm = 'Access Restricted.';
$nonce = md5(uniqid());
$opaque = md5(uniqid());
$valid = false;

$headers = System::getallheaders();
if (array_key_exists('Authorization', $headers)) {
    $authHeader = substr($headers['Authorization'],  strlen('Digest'));
    $parsed = array();
    foreach (explode(',', $authHeader) as $pair) {
        if (substr(trim($pair), 0, 4) == ($_u = 'uri=')) {
            $parsed[substr($_u, 0, -1)] = trim(substr($pair, 5), ' "');
        } else {
            $vals = explode('=', $pair);
            $parsed[trim($vals[0])] = trim($vals[1], '" ');
        }
    }

    $A1 = md5(self::DIGEST_USERNAME . ':' . $parsed['realm'] . ':' . self::DIGEST_PASSWORD);
    $A2 = md5($_SERVER['REQUEST_METHOD'] . ':' . $parsed['uri']);
    $response = md5($A1 . ':' . $parsed['nonce'] . ':' . $A2);

    $valid = ($response == $parsed['response']);
}

if (!$valid) {
    header('HTTP/1.1 401 Unauthorized');
    header('Content-Type: text/html');
    header(sprintf('WWW-Authenticate: Digest realm="%s", nonce="%s", opaque="%s"', $realm, $nonce, $opaque));
    echo 'Access denied.';
    exit();
}

...

function getallheaders()
{
    $headers = null;
    foreach ($_SERVER as $name => $value) {
        if (substr($name, 0, 5) == 'HTTP_') {
            $name = str_replace(' ', '-', ucwords(strtolower(str_replace('_', ' ', substr($name, 5)))));
            $headers[$name] = $value;
        } else if ($name == 'CONTENT_TYPE') {
            $headers['Content-Type'] = $value;
        } else if ($name == 'CONTENT_LENGTH') {
            $headers['Content-Length'] = $value;
        }
    }
    return $headers;
}

所以,问题是基于 PHP 的 Digest 身份验证不起作用,因为到那时 $_SERVER['HTTP_AUTHORIZATION'] 已经被基本身份验证的结果所占用:$_SERVER['HTTP_AUTHORIZATION'] = "Basic S1aGUzpuZXzzdXRl"。

有没有办法分离基本认证和摘要认证的结果?

谢谢!

4

1 回答 1

0

否。您要么需要在服务器端和后端使用相同的身份验证机制(这不适用于每种机制),要么在其中一个端关闭身份验证。

后者意味着您要么在后端关闭它并只信任服务器提供的用户名(在这种情况下,可以绕过内部网络中的身份验证),要么您在服务器端关闭它并让后端完成工作.

如果您甚至想在服务器和后端使用不同的用户名/密码(并且用户必须同时输入它们),那么您唯一的选择就是在后端实现基于 html/cookie/session 的登录页面并使用基于 http服务器端的身份验证

于 2015-01-03T14:35:24.277 回答