1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
|
<?xml version="1.0" encoding="iso-8859-1"?>
<chapter id="features.http-auth">
<title>Autentificación HTTP con PHP</title>
<simpara>
Las caracteríticas de autentificación HTTP en PHP solo estan
disponibles cuando se está ejecutando como un módulo en Apache y
hasta ahora no lo estan en la versión CGI. En un script PHP como
módulo de Apache, se puede usar la función
<function>header</function> para enviar un mensaje de
"Autentificación requerida" al navegador cliente haciendo que
muestre una ventana de entrada emergente con nombre de usuario y
contraseña. Una vez que el usuario ha rellenado el nombre y la
contraseña, la URL que contiene el script PHP vuelve a ser llamada
con las variables $PHP_AUTH_USER, $PHP_AUTH_PW y $PHP_AUTH_TYPE
rellenas con el nombre de usuario, la contraseña y el tipo de
autentificación respectivamente. Sólo autentificación "Básica"
esta soportada en este momento. Consulte la función
<function>header</function> para más información.</simpara> <para>
Un fragmento de script de ejmplo que fuerce la autentificación del
cliente en una página sería como el siguiente:
<example>
<title>Ejemplo de autentificación HTTP</title>
<programlisting role="php">
<?php
if(!isset($PHP_AUTH_USER)) {
Header("WWW-Autentificación: Basic realm=\"Mi Reino\"");
Header("HTTP/1.0 401 No autorizado");
echo "Texto a enviar si pulsa el botón Cancelar\n";
exit;
} else {
echo "Hola $PHP_AUTH_USER.<P>";
echo "Ha introducido $PHP_AUTH_PW como su contraseña.<P>";
}
?>
</programlisting>
</example></para>
<para>
En vez de, sencillamente, mostrar $PHP_AUTH_USER y
$PHP_AUTH_PW, seguramente quiera comprobar la validez del nombre
de usuario y la contraseña. Tal vez enviando una consulta a una
base de datos o buscando el usuario en un fichero dbm.</para>
<para>
Vigile aquí los navegadores Interner Explorer con bugs. Parecen muy
quisquillosos con el orden de las cabeceras. Enviar la cabecera
<emphasis>WWW-Autentificación</emphasis> antes que la cabecera
<errorcode>HTTP/1.0 401</errorcode> parece ser el truco por ahora.</para>
<simpara>
Para prevenir que alguien escriba un script que revele la
contraseña de una página que ha sido autentificada a través de
algún mecanismo externo tradicional, las variables PHP_AUTH no
serán rellenadas si algún tipo de autentificación externo ha sido
activado para una página en particular. En este caso, la variable
$REMOTE_USER puede ser usada para identificar al usuario
autentificado externamente.</simpara>
<simpara>
Nota, a pesar de todo, lo ya dicho no proteje de que alguien que
controle una URL no autentificada robe contraseñas de URLs
autentificadas en el mismo servidor.</simpara>
<simpara>
Tanto Netscape como Internet Explorer borrarán la caché de la
ventana de autentificación en el navegador local después de
recibir una respuesta 401 del servidor. Esto puede usarse, de
forma efectiva, para "desconectar" a un usuario, forzandole a
reintroducir su nombre y contraseña. Algunas personas usan esto
para "hacer caducar" entradas, o para proveer un botón de
"desconectar".</simpara>
<simpara></simpara>
<example>
<title>Ejemplo de autentificación HTTP forzando una
reentrada</title>
<programlisting role="php">
<?php
function authenticate() {
Header( "WWW-Authenticate: Basic realm=\"Test Autentificación Sistema\"");
Header( "HTTP/1.0 401 No autorizado");
echo "Debe introducir un nombre de usuario y contraseña válidos para acceder a
este recurso\n";
exit;
}
if(!isset($PHP_AUTH_USER) || ($SeenBefore == 1 && !strcmp($OldAuth, $PHP_AUTH_USER)) ) {
authenticate();
}
else {
echo "Bienvenido: $PHP_AUTH_USER<BR>";
echo "Old: $OldAuth";
echo "<FORM ACTION=\"$PHP_SELF\" METHOD=POST>\n";
echo "<INPUT TYPE=HIDDEN NAME=\"SeenBefore\" VALUE=\"1\">\n";
echo "<INPUT TYPE=HIDDEN NAME=\"OldAuth\" VALUE=\"$PHP_AUTH_USER\">\n";
echo "<INPUT TYPE=Submit VALUE=\"Re Authenticate\">\n";
echo "</FORM>\n";
}
?>
</programlisting>
</example>
<simpara>
Este comportamiento no es requerido por el estándar de autentificación
básica de HTTP, por lo que nunca debe depender de esto. Pruebas
con Lynx han demostrado que Lynx no borra las credenciales de
autentificación con una respuesta 401 del servidor, por lo que
pulsando atrás y después adelante abriría el recurso de nuevo
(siempre que los requerimientos de contraseña no hayan cambiado). </simpara>
<simpara>
Además note que esto no funciona usando el servidor IIS de Microsoft
y la versión CGI de PHP debido a una limitación del IIS</simpara>
</chapter>
<!-- Keep this comment at the end of the file
Local variables:
mode: sgml
sgml-omittag:t
sgml-shorttag:t
sgml-minimize-attributes:nil
sgml-always-quote-attributes:t
sgml-indent-step:1
sgml-indent-data:t
indent-tabs-mode:nil
sgml-parent-document:nil
sgml-default-dtd-file:"../manual.ced"
sgml-exposed-tags:nil
sgml-local-catalogs:nil
sgml-local-ecat-files:nil
End:
-->
|
