basic認証で3回認証を求められます - PHPプロ!Q&A掲示板
キーワード / キーワードが設定されていません
basic認証のサンプルコードを書いたのですが、
ID・パスワードが合っているのに3回認証画面が出ます。
合っている場合は普通その後に認証画面が出ることは
ないはずと思うのですが、どこがおかしいのでしょうか。
ご教示お願いします。
<html>
<head>
<META http-equiv="Content-Type" content="text/html; charset=UTF-8">
</head>
<body>
<?php
$user="naka";
$pass="ok";
$realm="test";
Header("WWW-authenticate: basic realm=\"$realm\"");
Header("HTTP/1.0 401 Unauthorized");
if(empty($_SERVER['PHP_AUTH_USER'])||$_SERVER['PHP_AUTH_USER']==""){
echo "キャンセルされました";
}else if($_SERVER['PHP_AUTH_USER']==$user && $_SERVER['PHP_AUTH_PW']==$pass){
echo "認証完了";
}else {
Header("WWW-authenticate: basic realm=\"$realm\"");
Header("HTTP/1.0 401 Unauthorized");
echo "認証に失敗しました";
}
?>
</body>
</html>
この質問への意見の募集は締め切られ、ポイントは既に配分されました。
意見を投稿することはできますが、ポイントを受け取ることはできません。
ツリー一覧
A01-1To_aru_Userockeghemさんのコードで完璧ですが、変更した個所につA01-1-1-1-1naka3939すみません。
また返信が書き込まれていませんでした回答一覧
A01
answererockeghem [5月4日 20:26]
(1)headerを必ず出力している
認証の成功可否に関わらず、401を返しています。これだと、永遠に認証に成功することができません。まず、IDとパスワードを確認して、認証に失敗した場合のみに401を返すべきです。
(2)headerはHTMLを返す前に
これは、PHPのheader関数の説明にあるとおりですが、HTMLを出力する前にheader関数を呼ぶ必要があります。現状動いているように見えますが、おそらくバッファリングの関係でたまたま動いているのでしょう。
http://php.net/manual/ja/function.header.php
これを避けるためには、まず認証のロジックをすべて終えた後にHTMLを出力するようにします。
動くサンプルを書いてみましたので、参考になさって下さい。
- define('USER', 'naka');
- define('PASS', 'ok');
- $realm="test";
- $user = isset($_SERVER['PHP_AUTH_USER']) ? $_SERVER['PHP_AUTH_USER'] : '';
- $pass = isset($_SERVER['PHP_AUTH_PW']) ? $_SERVER['PHP_AUTH_PW'] : '';
- $ok_auth = false;
- if($user === USER && $pass === PASS) {
- $ok_auth = true;
- } else {
- header("HTTP/1.0 401 Unauthorized");
- header("WWW-authenticate: basic realm=\"$realm\"");
- }
- <html>
- <head>
- <META http-equiv="Content-Type" content="text/html; charset=UTF-8">
- </head>
- <body>
- if ($ok_auth) {
- echo "認証完了";
- }else {
- echo "認証に失敗しました";
- }
- </body>
- </html>
A01-1
replyerTo_aru_User [5月4日 23:25]
1. 「empty」キーワードの使い方を間違えている
マニュアルを細部までお読みください。
issetキーワード
http://php.net/manual/ja/function.isset.php
emptyキーワード
http://php.net/manual/ja/function.empty.php
- empty($_SERVER['PHP_AUTH_USER']) || $_SERVER['PHP_AUTH_USER']==""
- empty($_SERVER['PHP_AUTH_USER'])
ところがemptyは文字の '0' も空とみなしてしまうので、最も適切なのは
- !isset($_SERVER['PHP_AUTH_USER']) || $_SERVER['PHP_AUTH_USER']===''
2. 「==」「!=」演算子は特定の場合を除き、絶対に使ってはいけない
ブログにまとめました。
http://bloggdgd.blog28.fc2.com/blog-entry-275.html
PHP特有の「暗黙の型変換」を避けるために「===」「!==」を使用すべきです。
A01-1-1
replyernaka3939 [5月6日 14:10]
あらためてありがとうございます。
ご回答頂いたコードで上手く行きましたが、一度認証した後は
再度認証せずに「認証完了」と出ます。
アクセスする度に認証画面を出すにはどうすれば良いのでしょうか。
A01-1-1-1
replyerockeghem [5月6日 22:39]
>ご回答頂いたコードで上手く行きましたが、一度認証した後は
>再度認証せずに「認証完了」と出ます。
これは、BASIC認証のIDとパスワードを覚えていてリクエストの度に送信するためです。
一般にBASIC認証とはそのようなものと受け入れられています。
>アクセスする度に認証画面を出すにはどうすれば良いのでしょうか。
アクセスする度に認証画面を出すには、少しトリッキーなプログラミングが必要になると思います。通常、そのような仕様にはしないからです。
以下のサンプルでは、セッション変数に以前のログイン状態を覚えておき、以前がログイン状態であったならばいったん401ヘッダを送信して、強制的にログインプロンプトを表示させるようにしています。
テストの結果、意図通り動くようですが、不自然なプログラムであり、個人的にはお勧めできません。
- session_start();
- define('USER', 'naka');
- define('PASS', 'ok');
- $realm="test";
- $user = isset($_SERVER['PHP_AUTH_USER']) ? $_SERVER['PHP_AUTH_USER'] : '';
- $pass = isset($_SERVER['PHP_AUTH_PW']) ? $_SERVER['PHP_AUTH_PW'] : '';
- if (! isset($_SESSION['IS_LOGIN'])) {
- $_SESSION['IS_LOGIN'] = false;
- }
- if(! $_SESSION['IS_LOGIN'] && $user === USER && $pass === PASS) {
- $_SESSION['IS_LOGIN'] = true;
- } else {
- header("HTTP/1.0 401 Unauthorized");
- header("WWW-authenticate: basic realm=\"$realm\"");
- $_SESSION['IS_LOGIN'] = false;
- }
- <html>
- <head>
- <META http-equiv="Content-Type" content="text/html; charset=UTF-8">
- </head>
- <body>
- if ($_SESSION['IS_LOGIN']) {
- echo "認証完了<br>";
- }else {
- echo "認証に失敗しました";
- }
- </body>
- </html>
ページのトップへ
alice4work様 shimix様 ご回答ありがとうございます。掲示板サイトを作る上で重要なトピックです。IPアドレスの解読を防ぐためにソルトを付加する点がポイントですね。