PHPでベーシック認証してみた。

  • このエントリーをはてなブックマークに追加

こんにちは、25歳になった昨日日曜日は一日中寝てたエンジニアの中島です。

いつもどおりでしたよ。えぇ、本当にいつも通り。通常運転。
変ったと言えば、行動がおっさんじみてきたぐらいでしょうか?
あと体力が落ちました。

身体はともかく心ぐらいは若くありたいけど、抗えない逃げられないのが老いなのかなー?と悟ってみたり。

いろいろ書きたいことがあるが、普通に書いたら会社的に怒られそうなのでよしたにさんみたいにマンガで書けばいいんじゃないだろうか?(そういう問題じゃない

自分に画力があればっ!!


<!――ここから本題――>

システム上でベーシック認証を任意に設定できる機能が必要になった。
大体の場合、ベーシック認証を設定するときは、「 .htaccess 」と「 .htpasswd 」を用意するのが一般的。
しかし、今回の仕様はユーザがIDとパスワードを自由に設定できるようにする必要性があるので、再設定するたびにPHPで毎回「 .htaccess 」と「 .htpasswd 」を生成するのは多様性に欠けるので、PHPでベーシック認証を実装する方法を調べてみた。

HTTPベースでのやり取りに置いてベーシック認証を行わせる手順として「Authorization」ヘッダの有無を確認する。。
クライアントから初めてアクセスした場合「Authorization」ヘッダは存在しない。
PHP上では$_SERVER[‘PHP_AUTH_USER’]で確認することができる。
存在しない場合は「401 Unauthorized」を返して認証ダイアログを表示する。
認証ダイアログを表示した際にキャンセルされた場合、処理を終了させておく。


「OK」ボタンが押された場合は「Authorization」ヘッダにIDとパスワード情報を付加した状態でサーバリクエストがくる。
付加されたIDとパスワードが一致するかチェックを行う。
IDは$_SERVER[‘PHP_AUTH_USER’]、パスワードは$_SERVER[‘PHP_AUTH_PW’]をそれぞれチェック。
下記のサンプルは平文でチェックをしているが、セキュリティ的にまずいので実際に使う場合は必ず暗号化すること。
いずれか不一致の場合は「401 Unauthorized」を返す。

/*認証に成功した場合の処理*/

PHPの実装はこんな感じに行っていけばOK.
あとはDBと連携してチェックを行えば、ユーザが設定したID,パスワードでベーシック認証を行うことができる。

株式会社8bit (エイトビット)

東京都目黒区でWebサイト制作、Webシステム開発などを行っております。
コーポレートサイトやWebサービスの企画・提案を得意としており、自社での経験を元にアイデアをカタチにするお手伝いをさせていただいております。

Web制作に関するご相談はお気軽にどうぞ

弊社に制作をご依頼いただく際の費用感をご確認いただける、
見積りシミュレーションをご用意いたしました。

8bit

執筆者: 8bit