Capitolo 18. Autenticazione HTTP usando PHP

I meccanismi di Autenticazione HTTP sono disponibili in PHP solo quando questo viene usato come un modulo di Apache ed esso non � quindi disponibile nella versione CGI. In uno script PHP modulo di Apache, � possibile usare la funzione header() per inviare un messaggio di "Authentication Required" al browser dell'utente, provocando quindi l'apertura di una finestra contenente una richiesta di Nome utente/Password. Una volta che l'utente ha compilato i campi nome utente e password, l'URL contenente lo script PHP verr� richiamato nuovamente usando le variabili, $PHP_AUTH_USER, $PHP_AUTH_PW e $PHP_AUTH_TYPE impostate con, rispettivamente: nome, password e tipo di autenticazione. Solamente il tipo di autenticazione "Basic" � al momento supportato. Fare riferimento alla funzione header() per ulteriori informazioni.

Un frammento di script di esempio che richiede l'autenticazione da parte del browser su una pagina, potrebbe essere il seguente:

Esempio 18-1. Esempio di Autenticazione HTTP

<?php
  if (!isset($PHP_AUTH_USER)) {
    header("WWW-Authenticate: Basic realm=\"Il mio realm\"");
    header("HTTP/1.0 401 Unauthorized");
    echo "Messaggio da inviare se si preme il tasto Cancel\n";
    exit;
  } else {
    echo "<p>Ciao $PHP_AUTH_USER.</p>";
    echo "<p>Hai inserito $PHP_AUTH_PW come tua password.</p>";
  }
?>

Note: Fare molta attenzione quando si scrive codice per le intestazioni HTTP. Per ottenere la massima compatibilit� con tutti i client, la paorla-chiave "Basic" deve essere scritta con una "B" maiuscola, la stringa realm deve essere racchiusa in virgolette doppie (non singole), ed esattamente uno spazio deve precedere il codice "401" nella linea di intestazione "HTTP/1.0 401".

Invece di stampare semplicemente $PHP_AUTH_USER e $PHP_AUTH_PW, probabilmente si vorr� controllare la validit� dello username e della password. Probabilemnte inviando una chiamata al database, o cercando un utente in un file dbm.

Si faccia attenzione ad alcune versioni di Internet Explorer. Sembra che siano molto schizzinosi riguardo all'ordine delle intestazioni. Inviare l'intestazione WWW-Authenticate prima dell'intestazione HTTP/1.0 401 sembra sistemare le cose per il momento.

Al fine di prevenire che qualcuno scriva uno script che rivela la password di una pagina che era stata autenticata tramite un tradizionale meccanismo esterno, le variabili PHP_AUTH non verranno impostate se � abilitata l'autenticazione esterna per quella determinata pagina. In questo caso, la variabile $REMOTE_USER pu� essere usata per identificare un utente autenticato esternamente.

Nota sulla Configurazione: PHP usa la presenza di una direttiva AuthType per determinare se viene utilizzata l'autenticazione esterna. Evitare questa direttiva nel contesto dove si intende usare l'autenticazione con PHP (altrimenti ogni tentativo di autenticazione fallir�).

Si fa notare, per�, che quanto scritto sopra non impedisce a qualcuno che controlla un URL non autenticato di sottrarre password da URL autenticati presenti sullo stesso server.

Sia Netscape Navigator che Internet Explorer cancellano la cache locale della finestra del browser, per quanto riguarda il realm, al ricevimento di una risposta 401 da parte del server. Questo � effettivamente un meccanismo di "log out" per l'utente, che lo forza a reinserire lo username e la password. Alcune persone usano questo per fare il "time out" dei login, o per rendere disponibili bottoni di "log-out".

Esempio 18-2. Esempio di Autenticazione HTTP che impone l'inserimento di nuovo username/password

<?php
  function authenticate() {
    header( "WWW-Authenticate: Basic realm=\"Prova del Sistema di Autenticazione\"");
    header( "HTTP/1.0 401 Unauthorized");
    echo "Per poter accedere a questa risorsa occorre inserire una coppia login e password valide\n";
    exit;
  }
 
  if (!isset($PHP_AUTH_USER) || ($SeenBefore == 1 && !strcmp($OldAuth, $PHP_AUTH_USER))) {
   authenticate();
  } 
  else {
   echo "<p>Benvenuto: $PHP_AUTH_USER<br>";
   echo "Vecchio: $OldAuth";
   echo "<form action='$PHP_SELF' method='POST'>\n";
   echo "<input type='HIDDEN' name='SeenBefore' value='1'>\n";
   echo "<input type='HIDDEN' name='OldAuth' value='$PHP_AUTH_USER'>\n";
   echo "<input type='submit' value='Re Authenticate'>\n";
   echo "</form></p>\n";
  }
?>

Questo comportamento non � richiesto dallo standard di autenticazione HTTP Basic, quindi non si dovrebbe mai fare affidamento su di esso. Test effettuati con Lynx mostrano che Lynx non cancella le credenziali di autenticazione al ricevimento del codice di risposta 401 da parte del server, quindi, premendo indietro e avanti nuovamente, dar� nuovamente accesso alla risorsa, ammesso che le rispettive richieste di credenziali non siano cambiate. L'utente pu� per� premere il tasto '_' al fine di cancellare le sue informazioni di autenticazione.

Si noti anche che questo non funziona con il server IIS di Microsoft e con la versione CGI di PHP a causa di una limitazione di IIS.

Nota: Se � abilitato safe mode viene aggiunto lo uid dello script al realm dell'header WWW-Authenticate.


	downloads \| documentation \| faq \| getting help \| mailing lists \| \| php.net sites \| links

search for in the