通过 PHP 注销 HTTP 身份验证

通常，一旦浏览器要求用户提供凭据并将其提供给特定的网站，它将继续这样做，而不会进一步提示。与在客户端清除 cookie 的各种方法不同，我不知道有什么类似的方法可以让浏览器忘记提供的身份验证凭据。

AFAIK，在使用 htaccess (即基于 HTTP 的)身份验证时，没有干净的方法来实现“注销”功能。

这是因为这种身份验证使用 HTTP 错误代码“401”告诉浏览器需要凭据，此时浏览器提示用户输入详细信息。从那时起，直到浏览器关闭，它将始终发送凭据，而不会进一步提示。

解决方案 (不是一个干净、漂亮(甚至可以工作! 参见注释)的解决方案) :

一次破坏了他的证件。

您可以通过发送适当的头(如果没有登录)将 HTTP 身份验证逻辑移动到 PHP:

Header('WWW-Authenticate: Basic realm="protected area"');
Header('HTTP/1.0 401 Unauthorized');

并使用以下命令解析输入:

$_SERVER['PHP_AUTH_USER'] // httpauth-user
$_SERVER['PHP_AUTH_PW']   // httpauth-password

因此，一次性禁用他的证书应该是微不足道的。

Mu. 没有正确的方法存在，甚至没有一个浏览器是一致的。

这个问题来自 HTTP 规范(第15.6节) :

现有的 HTTP 客户端和用户代理通常保留身份验证 HTTP/1.1. 没有为 服务器指示客户端丢弃这些缓存凭据。

另一方面，10.4.2章节说:

如果请求已包含授权凭据，则401 响应表明，对于那些 如果401响应包含与 事先响应，并且用户代理已经尝试 认证至少一次，然后用户应该显示 回应中给出的实体，因为该实体可能 包括有关的诊断资料。

换句话说，您可以再次显示登录框(如 @ Karsten所说) ，但浏览器不一定要满足你的要求-所以不要太依赖这个(错误的)特征。

方法在 Safari 中工作得很好，在 Firefox 和 Opera 中也可以工作，但是有一个警告。

Location: http://logout@yourserver.example.com/

这告诉浏览器用新的用户名打开 URL，覆盖前一个用户名。

到目前为止，我找到的最好的解决方案是(这是一种伪代码，$isLoggedIn是 http auth 的伪变量) :

在“注销”时，只需存储一些信息到会话中，说明用户实际上已经注销。

function logout()
{
//$isLoggedIn = false; //This does not work (point of this question)
$_SESSION['logout'] = true;
}

在检查身份验证的地方，我展开条件:

function isLoggedIn()
{
return $isLoggedIn && !$_SESSION['logout'];
}

Session 在某种程度上与 http 身份验证的状态相关联，因此只要用户保持浏览器打开，并且只要 http 身份验证在浏览器中持续存在，用户就会保持注销状态。

我对这个问题的解决办法如下。您可以在本页的第二个示例 http://php.net/manual/en/features.http-auth.php中找到函数 http_digest_parse、 $realm和 $users。

session_start();


function LogOut() {
session_destroy();
session_unset($_SESSION['session_id']);
session_unset($_SESSION['logged']);


header("Location: /", TRUE, 301);
}


function Login(){


global $realm;


if (empty($_SESSION['session_id'])) {
session_regenerate_id();
$_SESSION['session_id'] = session_id();
}


if (!IsAuthenticated()) {
header('HTTP/1.1 401 Unauthorized');
header('WWW-Authenticate: Digest realm="'.$realm.
'",qop="auth",nonce="'.$_SESSION['session_id'].'",opaque="'.md5($realm).'"');
$_SESSION['logged'] = False;
die('Access denied.');
}
$_SESSION['logged'] = True;
}


function IsAuthenticated(){
global $realm;
global $users;




if  (empty($_SERVER['PHP_AUTH_DIGEST']))
return False;


// check PHP_AUTH_DIGEST
if (!($data = http_digest_parse($_SERVER['PHP_AUTH_DIGEST'])) ||
!isset($users[$data['username']]))
return False;// invalid username




$A1 = md5($data['username'] . ':' . $realm . ':' . $users[$data['username']]);
$A2 = md5($_SERVER['REQUEST_METHOD'].':'.$data['uri']);


// Give session id instead of data['nonce']
$valid_response =   md5($A1.':'.$_SESSION['session_id'].':'.$data['nc'].':'.$data['cnonce'].':'.$data['qop'].':'.$A2);


if ($data['response'] != $valid_response)
return False;


return True;
}

简单的答案是您不能可靠地注销 http-身份验证。

长话短说:
HTTP-auth (与 HTTP 规范的其余部分一样)意味着是无状态的。因此，“登录”或“退出”并不是一个真正有意义的概念。查看它的更好方法是，对于每个 HTTP 请求(请记住，页面加载通常是多个请求) ，询问“是否允许执行请求?”.服务器将每个请求视为新的，与以前的任何请求无关。

浏览器选择记住您在第一个401上告诉它们的凭据，并在没有用户对后续请求的显式权限的情况下重新发送这些凭据。这是给用户提供他们所期望的“登录/退出”模型的一种尝试，但它纯粹是一个组合。是 浏览器模拟了这种状态的持久性。网络服务器完全没有意识到这一点。

因此，在 http-auth 的上下文中，“注销”纯粹是浏览器提供的模拟，因此超出了服务器的权限。

是的，有一些组件，但是它们破坏了 REST-ness (如果这对你有价值的话) ，而且它们是不可靠的。

如果您确实需要一个登录/登出模型来进行站点身份验证，那么最好的办法是使用跟踪 cookie，以某种方式(mysql、 sqlite、 latfile 等)在服务器上保存状态的持久性。这将需要对所有请求进行评估，例如，使用 PHP。

虽然其他人正确地说，它不可能从基本的 http 身份验证注销有方法来实现类似的 规矩点身份验证。一个显而易见的方法是使用 Auth _ memcookie。如果你真的想实现基本的 HTTP 身份验证(即使用浏览器对话框而不是 HTTP 表单来登录) ，只需将身份验证设置为一个独立的。Htaccess 保护目录，包含一个 PHP 脚本，该脚本在创建 memcache 会话后重定向到 te 用户所在的位置。

Trac-默认情况下-也使用 HTTP 身份验证。注销不起作用，无法修复:

• 这是 HTTP 身份验证方案本身的一个问题，在 Trac 中我们无法正确地修复它。
• 目前还没有适用于所有主流浏览器的解决方案(JavaScript 或其他)。

来自: 《 http://trac.edgewall.org/ticket/791#comment:103》