こんにちは、25歳になった昨日日曜日は一日中寝てたエンジニアの中島です。
いつもどおりでしたよ。えぇ、本当にいつも通り。通常運転。
変ったと言えば、行動がおっさんじみてきたぐらいでしょうか?
あと体力が落ちました。
身体はともかく心ぐらいは若くありたいけど、抗えない逃げられないのが老いなのかなー?と悟ってみたり。
いろいろ書きたいことがあるが、普通に書いたら会社的に怒られそうなのでよしたにさんみたいにマンガで書けばいいんじゃないだろうか?(そういう問題じゃない
自分に画力があればっ!!
<!――ここから本題――>
システム上でベーシック認証を任意に設定できる機能が必要になった。
大体の場合、ベーシック認証を設定するときは、「 .htaccess 」と「 .htpasswd 」を用意するのが一般的。
しかし、今回の仕様はユーザがIDとパスワードを自由に設定できるようにする必要性があるので、再設定するたびにPHPで毎回「 .htaccess 」と「 .htpasswd 」を生成するのは多様性に欠けるので、PHPでベーシック認証を実装する方法を調べてみた。
HTTPベースでのやり取りに置いてベーシック認証を行わせる手順として「Authorization」ヘッダの有無を確認する。。
クライアントから初めてアクセスした場合「Authorization」ヘッダは存在しない。
PHP上では$_SERVER[‘PHP_AUTH_USER’]で確認することができる。
存在しない場合は「401 Unauthorized」を返して認証ダイアログを表示する。
認証ダイアログを表示した際にキャンセルされた場合、処理を終了させておく。
|
1 2 3 |
if (!isset($_SERVER['PHP_AUTH_USER'])){ header('WWW-Authenticate: Basic realm="Private Page"'); header('HTTP/1.0 401 Unauthorized'); |
|
1 2 |
/* キャンセルを押した場合の処理 */ } |
「OK」ボタンが押された場合は「Authorization」ヘッダにIDとパスワード情報を付加した状態でサーバリクエストがくる。
付加されたIDとパスワードが一致するかチェックを行う。
IDは$_SERVER[‘PHP_AUTH_USER’]、パスワードは$_SERVER[‘PHP_AUTH_PW’]をそれぞれチェック。
下記のサンプルは平文でチェックをしているが、セキュリティ的にまずいので実際に使う場合は必ず暗号化すること。
いずれか不一致の場合は「401 Unauthorized」を返す。
|
1 2 3 |
if (!isset($_SERVER['PHP_AUTH_USER'])){ header('WWW-Authenticate: Basic realm="Private Page"'); header('HTTP/1.0 401 Unauthorized'); |
|
1 2 3 4 5 6 7 8 |
/* キャンセルを押した場合の処理 */ }else{ if ($_SERVER['PHP_AUTH_USER'] != $user || $_SERVER['PHP_AUTH_PW'] != $password){ header('WWW-Authenticate: Basic realm="Private Page"'); header('HTTP/1.0 401 Unauthorized'); /* 入力情報が一致しない場合 */ } } |
/*認証に成功した場合の処理*/
PHPの実装はこんな感じに行っていけばOK.
あとはDBと連携してチェックを行えば、ユーザが設定したID,パスワードでベーシック認証を行うことができる。
