6

有没有办法注销在 php.ini 中完成的摘要身份验证。

我试过 unset($_SERVER["PHP_AUTH_DIGEST"]); 但它不会要求重新登录。我知道如果我关闭浏览器,它就会工作,这是我的功能。

    function login(){
        $realm = "Restricted area";
        $users = array("jamesm"=>"");
        if (empty($_SERVER["PHP_AUTH_DIGEST"])) {
            header("HTTP/1.1 401 Unauthorized");
            header("WWW-Authenticate: Digest realm=\"{$realm}\",qop=\"auth\",nonce=\"".uniqid()."\",opaque=\"".md5($realm)."\"");
            return false;
        }
        if (!($data = http_digest_parse($_SERVER["PHP_AUTH_DIGEST"])) || !isset($users[$data["username"]]))
            return false;
        $A1 = md5($data["username"] . ":{$realm}:{$users[$data["username"]]}");
        $A2 = md5($_SERVER["REQUEST_METHOD"].":{$data["uri"]}");
        $valid_response = md5("{$A1}:{$data["nonce"]}:{$data["nc"]}:{$data["cnonce"]}:{$data["qop"]}:{$A2}");
        if ($data["response"] != $valid_response)
            return false;
        return true;
    }
    function logout(){
        unset($_SERVER["PHP_AUTH_DIGEST"]);
        return true;
    }

我还需要在注销功能中添加什么来完成此操作。

如果我改变它的工作领域,但我不希望它被改变。

4

2 回答 2

11

取消设置 $_SERVER['PHP_AUTH_DIGEST'] 将无效。问题是,你设定的任务并没有真正的“好”答案。

HTTP 规范在技术上不允许这样做,但实际上,如果您向它们发送另一个 401,大多数浏览器将有效地“将用户注销”。根据 php.net/http-auth:

Netscape Navigator 和 Internet Explorer 都会在接收到服务器响应 401 时清除本地浏览器窗口的域身份验证缓存。这可以有效地“注销”用户,迫使他们重新输入用户名和密码。有些人使用它来“超时”登录,或提供“注销”按钮。

从您的代码中,最简单的方法可能类似于:

function logout(){
    header('HTTP/1.1 401 Unauthorized');
    return true;
}

但是,同样,这实际上并不是 HTTP 规范所认可的。

于 2011-01-05T05:04:36.867 回答
6

权威答案:http ://tools.ietf.org/id/draft-ietf-httpbis-p7-auth-12.txt - 第6.1节
没有可靠的方法。

一些解决方法包括伪造 401 并更改 realm=,或使用故意无效的凭据确认 AJAX 身份验证请求。

于 2011-01-05T05:03:36.003 回答