1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
313
314
315
316
317
318
319
320
321
322
323
324
325
326
327
328
329
330
331
|
<?xml version="1.0" encoding="UTF-8"?>
<!-- EN-Revision: 24249 -->
<!-- Reviewed: no -->
<sect1 id="zend.auth.adapter.http">
<title>HTTP Authentication Adapter</title>
<sect2 id="zend.auth.adapter.http.introduction">
<title>Einführung</title>
<para>
<classname>Zend_Auth_Adapter_Http</classname> bietet die am meisten entsprechende
Implementation von <ulink url="http://tools.ietf.org/html/rfc2617">RFC-2617</ulink>,
<ulink url="http://en.wikipedia.org/wiki/Basic_authentication_scheme">Basis</ulink> und
<ulink url="http://en.wikipedia.org/wiki/Digest_access_authentication">Digest</ulink>
<acronym>HTTP</acronym> Authentifizierung. Digest Authentifizierung ist eine Methode der
<acronym>HTTP</acronym> Authentifikation welche die Basis Authentifizierung erweitert
indem ein Weg angeboten wird um sich zu Authentifizieren ohne dass das Passwort im
Klartext über das Netzwerk geschickt werden muß.
</para>
<para>
<emphasis>Hauptsächliche Features:</emphasis>
</para>
<itemizedlist>
<listitem>
<para>
Unterstützt sowohl Basis als auch Digest Authentifizierung.
</para>
</listitem>
<listitem>
<para>
Enthält Aufrufe für alle unterstützten Schemas, damit Klienten mit jedem
unterstützten Schema arbeiten können.
</para>
</listitem>
<listitem>
<para>
Bietet Proxy Authentifizierung.
</para>
</listitem>
<listitem>
<para>
Enthält Unterstützung für die Authentifizierung gegenüber Textdateien und
bietet ein Interface für die Authentifizierung gegenüber anderen Quellen,
wie z.B. Datenbanken.
</para>
</listitem>
</itemizedlist>
<para>
Es gibt ein paar nennenswerte Features von <acronym>RFC-2617</acronym> die bis jetzt
nicht implementiert wurden:
</para>
<itemizedlist>
<listitem>
<para>
Einstweilige Verfolgung, welche "stale" Support erlaubt und die
Unterstützung bei wiederholenden Attacken erhöht.
</para>
</listitem>
<listitem>
<para>
Authentifizierung mit Integritäts-Prüfung, oder "auth-int".
</para>
</listitem>
<listitem>
<para>
Authentifizierungs-Info <acronym>HTTP</acronym> Header.
</para>
</listitem>
</itemizedlist>
</sect2>
<sect2 id="zend.auth.adapter.design_overview">
<title>Design Übersicht</title>
<para>
Dieser Adapter besteht aus zwei Sub-Komponenten, die <acronym>HTTP</acronym>
Authentifizierungs Klasse selbst, und den sogenannten "Auflöser". Die
<acronym>HTTP</acronym> Authentifizierungs Klasse kapselt die Logik für die
Ausführung beider, sowohl der Basis als auch der Digest Authentifizierung. Sie
verwendet einen Auflöser um die Identität eines Klienten in Datenspeichern nachzusehen
(standardmäßig eine Textdatei), und die Zeugnisse vom Datenspeicher zu empfangen. Die
"aufgelösten" Zeugnisse werden dann mit den Werten verglichen die vom Klienten
übermittelt wurden um zu eruieren ob die Authentifizierung erfolgreich war.
</para>
</sect2>
<sect2 id="zend.auth.adapter.configuration_options">
<title>Konfigurations Optionen</title>
<para>
Die <classname>Zend_Auth_Adapter_Http</classname> Klasse benötigt ein Konfigurations
Array das Ihrem Konstruktor übergeben werden muß. Es sind verschiedene Konfigurations
Optionen vorhanden, und einige davon werden benötigt:
</para>
<table id="zend.auth.adapter.configuration_options.table">
<title>Konfigurations Optionen</title>
<tgroup cols="3">
<thead>
<row>
<entry>Options Name</entry>
<entry>Benötigt</entry>
<entry>Beschreibung</entry>
</row>
</thead>
<tbody>
<row>
<entry><emphasis><property>accept_schemes</property></emphasis></entry>
<entry>Ja</entry>
<entry>
Ermittelt welches Authentifizierungs Schema der Adapter vom
Klienten akzeptiert. Muß eine Leerzeichen-getrennte Liste sein, die
<emphasis>'basic'</emphasis> und, oder <emphasis>'digest'</emphasis>
enthält.
</entry>
</row>
<row>
<entry><emphasis><property>realm</property></emphasis></entry>
<entry>Ja</entry>
<entry>
Setzt das Authentifizierungs-Bereich; Benutzernamen sollten im
angegebenen Bereich einmalig sein.
</entry>
</row>
<row>
<entry><emphasis><property>digest_domains</property></emphasis></entry>
<entry>
Ja, wenn <property>accept_schemes</property>
<emphasis>digest</emphasis> enthält
</entry>
<entry>
Leerzeichen-getrennte Liste von <acronym>URI</acronym>s für welche die
gleichen Authentifizierungs Informationen gültig sind. Die
<acronym>URI</acronym>s müssen nicht alle auf den gleichen Server
zeigen.
</entry>
</row>
<row>
<entry><emphasis><property>nonce_timeout</property></emphasis></entry>
<entry>
Ja, wenn <property>accept_schemes</property>
<emphasis>digest</emphasis> enthält
</entry>
<entry>
Setzt die Anzahl an Sekunden für welche die Verfolgung gültig ist.
Siehe die Notizen anbei.
</entry>
</row>
<row>
<entry><emphasis><property>proxy_auth</property></emphasis></entry>
<entry>Nein</entry>
<entry>
Standardmäßig ausgeschaltet. Einschalten um Proxi Authentifizierung
durchzuführen statt normaler originaler Server Authentifizierung.
</entry>
</row>
</tbody>
</tgroup>
</table>
<note>
<para>
Die aktuelle Implementation von <property>nonce_timeout</property> hat einige
interessante Nebeneffekte. Diese Einstellung soll die gültige Lebenszeit einer
gegebenen Verfolgung ermitteln, oder effektiv, wie lange die Authentifizierungs
Information eines Klienten akzeptiert wird. Aktuell ist es auf 3600 (zum Beispiel)
gesetzt, und führt dazu das der Klient jede Stunde um neue Zeugnisse gebeten wird.
Das wird in einem zukünftigen Release behoben werden, sobald Verfolgung und "stale"
Support implementiert werden.
</para>
</note>
</sect2>
<sect2 id="zend.auth.adapter.http.resolvers">
<title>Auflöser</title>
<para>
Der Job des Auflösers ist es einen Benutzernamen und einen Bereich, und gibt eine Art
von Zeugnisswert zurück. Basis Authentifizierung erwartet einen Hash des Benutzernamens,
des Bereichs, und dessen Passwörter (jedes seperiert durch ein Komma). Aktuell ist der
einzige unterstützte Hash Algorithmus <acronym>MD5</acronym>.
</para>
<para>
<classname>Zend_Auth_Adapter_Http</classname> ist darauf angewiesen das Objekte
<classname>Zend_Auth_Adapter_Http_Resolver_Interface</classname> implementieren. Eine
Textdatei Auflöser Klasse ist mit diesem Adapter inkludiert, aber jede Art von Auflöser
kann einfach erstellt werden indem das Resolver Interface implementiert wird.
</para>
<sect3 id="zend.auth.adapter.http.resolvers.file">
<title>Datei Auflöser</title>
<para>
Der Datei Auflöser ist eine sehr einfache Klasse. Sie hat eine einzelne Eigenschaft
die einen Dateinamen spezifiziert, welcher auch dem Konstruktor übergeben werden
kann. Ihre <methodname>resolve()</methodname> Methode geht durch die Textdatei, und
sucht nach einer Zeile mit einem entsprechenden Benutzernamen und Bereich. Das
Format der Textdatei ist ähnlich dem von Apache htpasswd Dateien:
</para>
<programlisting language="txt"><![CDATA[
<benutzername>:<bereich>:<zeugnisse>\n
]]></programlisting>
<para>
Jede Zeile besteht aus drei Feldern - Benutzername, Bereich und Zeugnisse - jede
abgeteilt durch einen Doppelpunkt. Das Zeugnis Feld ist für den Datei Auflöser nicht
sichtbar; es gibt den Wert einfach, wie er ist, an den Aufrufer zurück. Deswegen
kann dieses Dateiformat sowohl Basis als auch Digest Authentifizierung behandeln. In
der Basis Authentifizierung sollte das Zeugnis Feld im Klartext stehen. In der
Digest Authentifizierung sollte es der oben beschriebene <acronym>MD5</acronym> Hash
sein.
</para>
<para>
Es gibt zwei gleiche einfache Wege um einen Datei Auflöser zu erstellen:
</para>
<programlisting language="php"><![CDATA[
$path = 'files/passwd.txt';
$resolver = new Zend_Auth_Adapter_Http_Resolver_File($path);
]]></programlisting>
<para>
oder
</para>
<programlisting language="php"><![CDATA[
$path = 'files/passwd.txt';
$resolver = new Zend_Auth_Adapter_Http_Resolver_File();
$resolver->setFile($path);
]]></programlisting>
<para>
Wenn der angegebene Pfad leer oder nicht lesbar ist, wird eine Ausnahme geworfen.
</para>
</sect3>
</sect2>
<sect2 id="zend.auth.adapter.http.basic_usage">
<title>Grundsätzliche Verwendung</title>
<para>
Zuerst muß ein Array mit den benötigen Konfigurationswerten gesetzt werden:
</para>
<programlisting language="php"><![CDATA[
$config = array(
'accept_schemes' => 'basic digest',
'realm' => 'My Web Site',
'digest_domains' => '/members_only /my_account',
'nonce_timeout' => 3600,
);
]]></programlisting>
<para>
Dieses Array bringt den Adapter dazu entwedet Basis oder Digest Authentifizierung zu
akzeptieren, und benötigt einen authentifizierten Zugriff auf alle Areale der Site
unter <filename>/members_only</filename> und <filename>/my_account</filename>. Der
Bereichs Wert wird normalerweise durch den Browser in der Passwort Dialog Box
angezeigt. <property>nonce_timeout</property> verhält sich natürlich so wie oben
beschrieben.
</para>
<para>
Dann wird ein <classname>Zend_Auth_Adapter_Http</classname> Objekt erstellt:
</para>
<programlisting language="php"><![CDATA[
$adapter = new Zend_Auth_Adapter_Http($config);
]]></programlisting>
<para>
Da beides, Basis und Digest Authentifizierung, unterstützt werden, werden zwei
unterschiedliche Auflösungs-Objekte benötigt. Man könnte das auch einfach durch die
Verwendung von zwei unterschiedlichen Klassen bewerkstelligen:
</para>
<programlisting language="php"><![CDATA[
$basicResolver = new Zend_Auth_Adapter_Http_Resolver_File();
$basicResolver->setFile('files/basicPasswd.txt');
$digestResolver = new Zend_Auth_Adapter_Http_Resolver_File();
$digestResolver->setFile('files/digestPasswd.txt');
$adapter->setBasicResolver($basicResolver);
$adapter->setDigestResolver($digestResolver);
]]></programlisting>
<para>
Letztendlich führen wir die Authentifizierung durch. Der Adapter benötigt eine Referenz
zu beidem, dem Anfrage und Antwort Objekten um seinen Job durchführen zu können:
</para>
<programlisting language="php"><![CDATA[
assert($request instanceof Zend_Controller_Request_Http);
assert($response instanceof Zend_Controller_Response_Http);
$adapter->setRequest($request);
$adapter->setResponse($response);
$result = $adapter->authenticate();
if (!$result->isValid()) {
// Schlechter Benutzername/Passwort, oder abgebrochener Passwort Prompt
}
]]></programlisting>
</sect2>
</sect1>
|
