#php #api #rest
#php #API #rest
Вопрос:
Я хочу расширить Restler, чтобы проверить, было ли передано допустимое значение авторизации пользовательского заголовка. У меня возникли проблемы с решением проблемы, я пробовал это, но безрезультатно:
class AuthenticateMe implements iAuthenticate() {
function __isAuthenticated() {
//return isset($_SERVER['HTTP_AUTH_KEY']) amp;amp; $_SERVER['HTTP_AUTH_KEY']==AuthenticateMe::KEY ? TRUE : FALSE;
$headers = apache_request_headers();
foreach ($headers as $header => $value) {
if($header == "Authorization") {
return TRUE;
} else {
//return FALSE;
throw new RestException(404);
}
}
}
}
Ответ №1:
Позвольте мне быстро исправить ваш пример с пользовательским заголовком авторизации
class HeaderAuth implements iAuthenticate{
function __isAuthenticated(){
//we are only looking for a custom header called 'Auth'
//but $_SERVER prepends HTTP_ and makes it all uppercase
//thats why we need to look for 'HTTP_AUTH' instead
//also do not use header 'Authorization'. It is not
//included in PHP's $_SERVER variable
return isset($_SERVER['HTTP_AUTH']) amp;amp; $_SERVER['HTTP_AUTH']=='password';
}
}
Я протестировал его, чтобы убедиться, что он работает!
Вот как заставить его работать с заголовком Authorization, он работает только на серверах apache
class Authorization implements iAuthenticate{
function __isAuthenticated(){
$headers = apache_request_headers();
return isset($headers['Authorization']) amp;amp; $headers['Authorization']=='password';
}
}
Я выяснил, что PHP преобразует Authorization заголовок в $_SERVER['PHP_AUTH_DIGEST'] или $_SERVER['PHP_AUTH_USER'] и $_SERVER['PHP_AUTH_PW'] в зависимости от типа запроса аутентификации (digest или basic) мы можем использовать следующий .htaccess файл для включения $_SERVER['HTTP_AUTHORIZATION'] заголовка
DirectoryIndex index.php
DirectoryIndex index.php
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteRule ^$ index.php [QSA,L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule ^(.*)$ index.php [QSA,L]
RewriteRule .* - [env=HTTP_AUTHORIZATION:%{HTTP:Authorization},last]
</IfModule>
важной частью является RewriteRule .* — [env=HTTP_AUTHORIZATION:%{HTTP:Authorization },последний]
Теперь наш пример можно упростить до:
class Authorization implements iAuthenticate{
function __isAuthenticated(){
return isset($_SERVER['HTTP_AUTHORIZATION']) amp;amp; $_SERVER['HTTP_AUTHORIZATION']=='password';
}
}
Комментарии:
1. Спасибо Luracast, я уже использовал такой подход, важно то, что, скажем, клиент настаивает на использовании заголовка ‘Authorization’.
2. @Dee Вот, пожалуйста, я обновил свой ответ рабочим примером, который использует авторизацию в заголовке
3. Привет, Luracast, я пытаюсь реализовать это в вашем примере crud. Однако кажется, что авторизация выполняется в обход. Я попробовал это
class Authorization implements iAuthenticate{ function __isAuthenticated(){ $headers = apache_request_headers(); return isset($headers['Authorization']) amp;amp; $headers['Authorization']=='password'; } }потому что сомневаюсь, что мой .htaccess игнорируется. Но все еще безуспешно. Есть идеи?
Ответ №2:
Аутентификация заголовка
есть три способа сделать это
- Базовая аутентификация HTTP
- HTTP-дайджест-аутентификация
- Создаем наши собственные, используя пользовательские HTTP-заголовки
Вы можете прочитать больше из руководства по PHP
В Restler 1.0 был пример дайджест-аутентификации. Я изменил, чтобы заставить его работать с Restler 2.0
class DigestAuthentication implements iAuthenticate
{
public $realm = 'Restricted API';
public static $user;
public $restler;
public function __isAuthenticated()
{
//user => password hardcoded for convenience
$users = array('admin' => 'mypass', 'guest' => 'guest');
if (empty($_SERVER['PHP_AUTH_DIGEST'])) {
header('HTTP/1.1 401 Unauthorized');
header('WWW-Authenticate: Digest realm="'.$this->realm.'",qop="auth",nonce="'.
uniqid().'",opaque="'.md5($this->realm).'"');
throw new RestException(401, 'Digest Authentication Required');
}
// analyze the PHP_AUTH_DIGEST variable
if (!($data = DigestAuthentication::http_digest_parse($_SERVER['PHP_AUTH_DIGEST'])) ||
!isset($users[$data['username']]))
{
throw new RestException(401, 'Wrong Credentials!');
}
// generate the valid response
$A1 = md5($data['username'] . ':' . $this->realm . ':' . $users[$data['username']]);
$A2 = md5($_SERVER['REQUEST_METHOD'].':'.$data['uri']);
$valid_response = md5($A1.':'.$data['nonce'].':'.$data['nc'].':'.$data['cnonce'].':'.$data['qop'].':'.$A2);
if ($data['response'] != $valid_response)
{
throw new RestException(401, 'Wrong Credentials!');
}
// ok, valid username amp; password
DigestAuthentication::$user=$data['username'];
return true;
}
/**
* Logs user out of the digest authentication by bringing the login dialog again
* ignore the dialog to logout
*
* @url GET /user/login
* @url GET /user/logout
*/
public function logout()
{
header('HTTP/1.1 401 Unauthorized');
header('WWW-Authenticate: Digest realm="'.$this->realm.'",qop="auth",nonce="'.
uniqid().'",opaque="'.md5($this->realm).'"');
die('Digest Authorisation Required');
}
// function to parse the http auth header
private function http_digest_parse($txt)
{
// protect against missing data
$needed_parts = array('nonce'=>1, 'nc'=>1, 'cnonce'=>1, 'qop'=>1, 'username'=>1, 'uri'=>1, 'response'=>1);
$data = array();
$keys = implode('|', array_keys($needed_parts));
preg_match_all('@(' . $keys . ')=(?:(['"])([^2] ?)2|([^s,] ))@', $txt, $matches, PREG_SET_ORDER);
foreach ($matches as $m) {
$data[$m[1]] = $m[3] ? $m[3] : $m[4];
unset($needed_parts[$m[1]]);
}
return $needed_parts ? false : $data;
}
}
Комментарии:
1. Привет, Арул, спасибо за комментарий. Помимо того, что предложил RESTler, как вы тестируете свой сервер API?