ออกจากระบบการตรวจสอบ HTTP ผ่าน PHP

เป็นสิ่งที่ถูกต้องวิธีที่จะออกจากระบบ HTTP โฟลเดอร์ที่มีการป้องกันการตรวจสอบ?

มีวิธีแก้ไขเฉพาะหน้าที่สามารถทำสิ่งนี้ได้ แต่สิ่งเหล่านี้อาจเป็นอันตรายได้เนื่องจากสามารถใช้บั๊กหรือไม่ทำงานในบางสถานการณ์ / เบราว์เซอร์ นั่นคือเหตุผลที่ฉันกำลังมองหาวิธีที่ถูกต้องและสะอาด

หมู่ ไม่มีวิธีที่ถูกต้องไม่มีแม้แต่วิธีที่สอดคล้องกันในเบราว์เซอร์

นี่เป็นปัญหาที่มาจากข้อมูลจำเพาะ HTTP (ส่วนที่ 15.6):

ไคลเอ็นต์ HTTP และเอเจนต์ผู้ใช้ที่มีอยู่โดยทั่วไปจะเก็บข้อมูลการพิสูจน์ตัวตนไว้โดยไม่มีกำหนด HTTP / 1.1 ไม่ได้ให้วิธีการสำหรับเซิร์ฟเวอร์ที่จะนำลูกค้าไปทิ้งข้อมูลประจำตัวที่แคชเหล่านี้

ในทางกลับกันมาตรา10.4.2พูดว่า:

หากคำร้องขอนั้นมีข้อมูลประจำตัวการอนุญาตแล้วการตอบสนอง 401 บ่งชี้ว่าการอนุญาตนั้นถูกปฏิเสธสำหรับข้อมูลรับรองเหล่านั้น หากการตอบสนอง 401 มีความท้าทายเช่นเดียวกับการตอบสนองก่อนหน้านี้และตัวแทนผู้ใช้ได้พยายามรับรองความถูกต้องอย่างน้อยหนึ่งครั้งผู้ใช้ควรถูกนำเสนอเอนทิตีที่ได้รับในการตอบสนองเนื่องจากนิติบุคคลนั้นอาจมีข้อมูลการวินิจฉัยที่เกี่ยวข้อง

กล่าวอีกนัยหนึ่งคุณอาจแสดงกล่องเข้าสู่ระบบอีกครั้ง (ตามที่@Karstenพูด) แต่เบราว์เซอร์ไม่จำเป็นต้องทำตามคำขอของคุณ - ดังนั้นอย่าพึ่งพาคุณลักษณะนี้ (mis) มากเกินไป

วิธีการที่ทำงานได้ดีใน Safari ยังทำงานได้ใน Firefox และ Opera แต่มีคำเตือน

Location: http://logout@yourserver.example.com/

สิ่งนี้บอกให้เบราว์เซอร์เปิด URL ด้วยชื่อผู้ใช้ใหม่แทนที่ชื่อก่อนหน้า

คำตอบง่ายๆคือคุณไม่สามารถออกจากระบบ http-authentication ได้อย่างน่าเชื่อถือ

คำตอบที่ยาวนาน:
Http-auth (เช่นส่วนที่เหลือของสเปค HTTP) หมายถึงไร้สัญชาติ ดังนั้นการ "เข้าสู่ระบบ" หรือ "ออกจากระบบ" ไม่ใช่แนวคิดที่เหมาะสม วิธีที่ดีกว่าในการดูคือการถามสำหรับคำขอ HTTP แต่ละครั้ง (และโปรดจำไว้ว่าการโหลดหน้าเว็บมักจะมีหลายคำขอ) "คุณได้รับอนุญาตให้ทำสิ่งที่คุณขอหรือไม่" เซิร์ฟเวอร์จะเห็นคำขอแต่ละคำขอใหม่และไม่เกี่ยวข้องกับคำขอก่อนหน้านี้

เบราว์เซอร์ได้เลือกที่จะจดจำข้อมูลประจำตัวที่คุณบอกพวกเขาใน 401 แรกและส่งอีกครั้งโดยไม่ได้รับอนุญาตอย่างชัดเจนจากผู้ใช้ในการร้องขอต่อมา นี่คือความพยายามที่จะให้ผู้ใช้โมเดล "เข้าสู่ระบบ / ออกจากระบบ" ที่พวกเขาคาดหวัง แต่มันเป็น kludge ล้วนๆ มันเป็นเบราว์เซอร์ที่จำลองสถานะการคงอยู่นี้ เว็บเซิร์ฟเวอร์ไม่รู้ตัวเลย

ดังนั้น "การออกจากระบบ" ในบริบทของ http-auth จึงเป็นการจำลองโดยเบราว์เซอร์และอยู่นอกเหนืออำนาจของเซิร์ฟเวอร์

ใช่มีกากบาด แต่พวกเขาจะทำลายความสงบ (ถ้านั่นคือสิ่งที่มีค่าสำหรับคุณ) และพวกเขาจะไม่น่าเชื่อถือ

หากคุณต้องการรูปแบบการเข้าสู่ระบบ / ออกจากระบบอย่างแท้จริงสำหรับการตรวจสอบเว็บไซต์ของคุณทางออกที่ดีที่สุดคือคุกกี้การติดตามด้วยความคงอยู่ของรัฐที่เก็บไว้บนเซิร์ฟเวอร์ในบางลักษณะ (mysql, sqlite, flatfile ฯลฯ ) สิ่งนี้จะต้องมีการประเมินคำขอทั้งหมดเช่นกับ PHP

วิธีแก้ปัญหา

คุณสามารถทำได้โดยใช้ Javascript:

<html><head>
<script type="text/javascript">
function logout() {
    var xmlhttp;
    if (window.XMLHttpRequest) {
          xmlhttp = new XMLHttpRequest();
    }
    // code for IE
    else if (window.ActiveXObject) {
      xmlhttp=new ActiveXObject("Microsoft.XMLHTTP");
    }
    if (window.ActiveXObject) {
      // IE clear HTTP Authentication
      document.execCommand("ClearAuthenticationCache");
      window.location.href='/where/to/redirect';
    } else {
        xmlhttp.open("GET", '/path/that/will/return/200/OK', true, "logout", "logout");
        xmlhttp.send("");
        xmlhttp.onreadystatechange = function() {
            if (xmlhttp.readyState == 4) {window.location.href='/where/to/redirect';}
        }


    }


    return false;
}
</script>
</head>
<body>
<a href="#" onclick="logout();">Log out</a>
</body>
</html>

สิ่งที่ทำข้างต้นคือ:

• สำหรับ IE - เพียงแค่ล้างแคชรับรองความถูกต้องและเปลี่ยนเส้นทางที่อื่น

• สำหรับเบราว์เซอร์อื่น - ส่ง XMLHttpRequest ที่อยู่เบื้องหลังด้วยชื่อล็อกอินและรหัสผ่าน 'ล็อกเอาต์' เราจำเป็นต้องส่งไปยังพา ธ ที่จะส่งคืน 200 OK ไปยังคำขอนั้น (เช่นไม่ควรใช้การตรวจสอบสิทธิ์ HTTP)

แทนที่'/where/to/redirect'ด้วยบางเส้นทางเพื่อเปลี่ยนเส้นทางไปหลังจากออกจากระบบและแทนที่'/path/that/will/return/200/OK'ด้วยบางเส้นทางบนไซต์ของคุณที่จะคืนค่า 200 OK

วิธีแก้ปัญหา (ไม่ใช่วิธีแก้ปัญหาที่สะอาดดี (หรือแม้กระทั่งทำงาน! ดูความคิดเห็น)):

ปิดใช้งานข้อมูลรับรองของเขาหนึ่งครั้ง

คุณสามารถย้ายตรรกะการตรวจสอบ HTTP ของคุณไปที่ PHP ได้โดยส่งส่วนหัวที่เหมาะสม (หากไม่ได้เข้าสู่ระบบ):

Header('WWW-Authenticate: Basic realm="protected area"');
Header('HTTP/1.0 401 Unauthorized');

และแยกวิเคราะห์อินพุตด้วย:

$_SERVER['PHP_AUTH_USER'] // httpauth-user
$_SERVER['PHP_AUTH_PW']   // httpauth-password

ดังนั้นการปิดใช้งานข้อมูลประจำตัวของเขาในครั้งเดียวน่าจะเป็นเรื่องเล็กน้อย

ออกจากระบบ HTTP Basic Auth ในสองขั้นตอน

สมมติว่าฉันมีขอบเขตการตรวจสอบสิทธิ์ HTTP พื้นฐานชื่อ“ ป้องกันด้วยรหัสผ่าน” และ Bob เข้าสู่ระบบในการออกจากระบบฉันขอ AJAX 2 คำขอ:

1. เข้าถึงสคริปต์ / logout_step1 เพิ่มผู้ใช้ชั่วคราวแบบสุ่มให้กับ. htusers และตอบกลับด้วยการเข้าสู่ระบบและรหัสผ่าน
2. สคริปต์การเข้าถึง / logout_step2 รับรองความถูกต้องกับการเข้าสู่ระบบการใช้งานชั่วคราวและรหัสผ่าน สคริปต์ลบผู้ใช้ชั่วคราวและเพิ่มส่วนหัวนี้ในการตอบสนอง:WWW-Authenticate: Basic realm="Password protected"

ณ จุดนี้เบราว์เซอร์ลืมข้อมูลประจำตัวของ Bob

วิธีแก้ไขปัญหาของฉันมีดังต่อไปนี้ คุณสามารถหาฟังก์ชั่นhttp_digest_parse, $realmและ$usersในตัวอย่างที่สองของหน้านี้: http://php.net/manual/en/features.http-auth.php

session_start();

function LogOut() {
  session_destroy();
  session_unset($_SESSION['session_id']);
  session_unset($_SESSION['logged']);

  header("Location: /", TRUE, 301);   
}

function Login(){

  global $realm;

  if (empty($_SESSION['session_id'])) {
    session_regenerate_id();
    $_SESSION['session_id'] = session_id();
  }

  if (!IsAuthenticated()) {  
    header('HTTP/1.1 401 Unauthorized');
    header('WWW-Authenticate: Digest realm="'.$realm.
   '",qop="auth",nonce="'.$_SESSION['session_id'].'",opaque="'.md5($realm).'"');
    $_SESSION['logged'] = False;
    die('Access denied.');
  }
  $_SESSION['logged'] = True;  
}

function IsAuthenticated(){
  global $realm;
  global $users;


  if  (empty($_SERVER['PHP_AUTH_DIGEST']))
      return False;

  // check PHP_AUTH_DIGEST
  if (!($data = http_digest_parse($_SERVER['PHP_AUTH_DIGEST'])) ||
     !isset($users[$data['username']]))
     return False;// invalid username


  $A1 = md5($data['username'] . ':' . $realm . ':' . $users[$data['username']]);
  $A2 = md5($_SERVER['REQUEST_METHOD'].':'.$data['uri']);

  // Give session id instead of data['nonce']
  $valid_response =   md5($A1.':'.$_SESSION['session_id'].':'.$data['nc'].':'.$data['cnonce'].':'.$data['qop'].':'.$A2);

  if ($data['response'] != $valid_response)
    return False;

  return True;
}

โดยทั่วไปเมื่อเบราว์เซอร์ขอข้อมูลประจำตัวผู้ใช้และส่งไปยังเว็บไซต์เฉพาะจะมีการดำเนินการต่อโดยไม่ต้องแจ้งให้ทราบอีก ซึ่งแตกต่างจากวิธีการต่าง ๆ ที่คุณสามารถล้างคุกกี้ในฝั่งไคลเอ็นต์ฉันไม่รู้วิธีที่คล้ายกันในการขอให้เบราว์เซอร์ลืมข้อมูลรับรองการตรวจสอบสิทธิ์ที่ให้มา

Trac - โดยค่าเริ่มต้น - ใช้การตรวจสอบสิทธิ์ HTTP เช่นกัน การออกจากระบบไม่ทำงานและไม่สามารถแก้ไขได้:

• นี่เป็นปัญหาของชุดรูปแบบการตรวจสอบความถูกต้อง HTTP และไม่มีสิ่งใดที่เราสามารถทำได้ใน Trac เพื่อแก้ไขอย่างถูกต้อง
• ขณะนี้ไม่มีวิธีแก้ไข (JavaScript หรืออื่น ๆ ) ที่ใช้งานได้กับเบราว์เซอร์หลักทั้งหมด

จาก: http://trac.edgewall.org/ticket/791#comment:103

ดูเหมือนว่าไม่มีคำตอบที่ใช้งานได้สำหรับปัญหานี้มีการรายงานปัญหาเมื่อเจ็ดปีที่แล้วและมันสมเหตุสมผลดี: HTTP ไม่มีสถานะ มีการร้องขอด้วยการรับรองความถูกต้องหรือไม่ แต่นั่นเป็นเรื่องของลูกค้าที่ส่งคำขอไม่ใช่เซิร์ฟเวอร์ที่รับมัน เซิร์ฟเวอร์สามารถพูดได้ว่าคำขอ URI นั้นต้องการการอนุญาตหรือไม่

ฉันต้องการรีเซ็ตการอนุญาต. htaccess ดังนั้นฉันจึงใช้สิ่งนี้:

<?php
if (!isset($_SERVER['PHP_AUTH_USER'])) {
    header('WWW-Authenticate: Basic realm="My Realm"');
    header('HTTP/1.0 401 Unauthorized');
    echo 'Text to send if user hits Cancel button';
    exit;
}
?>

พบได้ที่นี่: http://php.net/manual/en/features.http-auth.php

ไปคิด

มีโซลูชันจำนวนหนึ่งตั้งอยู่บนหน้านั้นและแม้จะมีการบันทึกไว้ที่ด้านล่าง: คมไม่ล้างการรับรองความถูกต้องเหมือนเบราว์เซอร์อื่น ๆ )

ฉันทดสอบมันบนเบราว์เซอร์ที่ติดตั้งของฉันและเมื่อปิดแล้วเบราว์เซอร์แต่ละตัวก็ดูเหมือนว่าจะต้องมีการใช้ซ้ำอีกครั้ง

นี่อาจไม่ใช่ทางออกที่ถูกมองหา แต่ฉันแก้ไขได้เช่นนี้ ฉันมี 2 สคริปต์สำหรับกระบวนการออกจากระบบ

logout.php

<?php
header("Location: http://.@domain.com/log.php");
?>

log.php

<?php
header("location: https://google.com");
?>

วิธีนี้ฉันจะไม่ได้รับคำเตือนและเซสชันของฉันจะสิ้นสุดลง

AFAIK ไม่มีวิธีใหม่ ๆ ในการใช้ฟังก์ชั่น "logout" เมื่อใช้การพิสูจน์ตัวตน htaccess (เช่นใช้ HTTP)

นี่เป็นเพราะการตรวจสอบดังกล่าวใช้รหัสข้อผิดพลาด HTTP '401' เพื่อบอกเบราว์เซอร์ว่าจำเป็นต้องมีข้อมูลรับรอง ณ จุดที่เบราว์เซอร์แจ้งให้ผู้ใช้ทราบรายละเอียด จากนั้นจนกระทั่งปิดเบราว์เซอร์จะส่งข้อมูลประจำตัวเสมอโดยไม่ต้องแจ้งให้ทราบเพิ่มเติม

ทางออกที่ดีที่สุดที่ฉันพบคือ (มันเป็นรหัสหลอกรหัส$isLoggedInตัวแปรหลอกสำหรับ http auth):

ในช่วงเวลาของการ "ออกจากระบบ" เพียงแค่เก็บข้อมูลบางอย่างไว้ในเซสชั่นบอกว่าผู้ใช้ออกจากระบบจริง

function logout()
{
  //$isLoggedIn = false; //This does not work (point of this question)
  $_SESSION['logout'] = true;
}

ในสถานที่ที่ฉันตรวจสอบความถูกต้องฉันจะขยายเงื่อนไข:

function isLoggedIn()
{
  return $isLoggedIn && !$_SESSION['logout'];
}

เซสชันค่อนข้างเชื่อมโยงกับสถานะการรับรองความถูกต้องของ http ดังนั้นผู้ใช้ยังคงออกจากระบบตราบใดที่เขาเปิดเบราว์เซอร์และตราบใดที่การตรวจสอบความถูกต้องของ http ยังคงอยู่ในเบราว์เซอร์

บางทีฉันอาจจะพลาดจุดนี้

วิธีที่น่าเชื่อถือที่สุดที่ฉันพบว่าจบการรับรองความถูกต้องของ HTTP คือการปิดเบราว์เซอร์และหน้าต่างเบราว์เซอร์ทั้งหมด คุณสามารถปิดหน้าต่างเบราว์เซอร์โดยใช้ Javascript แต่ฉันไม่คิดว่าคุณสามารถปิดหน้าต่างเบราว์เซอร์ทั้งหมดได้

วิธีที่มีประสิทธิภาพเดียวที่ฉันได้พบว่าเช็ดออกPHP_AUTH_DIGESTหรือPHP_AUTH_USERและข้อมูลประจำตัวคือการเรียกส่วนหัวPHP_AUTH_PWHTTP/1.1 401 Unauthorized

function clear_admin_access(){
    header('HTTP/1.1 401 Unauthorized');
    die('Admin access turned off');
}

ในขณะที่คนอื่น ๆ ถูกต้องในการบอกว่ามันเป็นไปไม่ได้ที่จะออกจากระบบการตรวจสอบ http พื้นฐานมีวิธีการใช้การรับรองความถูกต้องซึ่งมีพฤติกรรมคล้ายกัน หนึ่ง appeoach ที่เห็นได้ชัดคือการใช้auth_memcookie หากคุณต้องการใช้การรับรองความถูกต้อง HTTP พื้นฐาน (เช่นใช้กล่องโต้ตอบของเบราว์เซอร์สำหรับการเข้าสู่ระบบแทนที่จะเป็นรูปแบบ HTTP) โดยใช้สิ่งนี้ - เพียงแค่ตั้งค่าการรับรองความถูกต้องเป็นไดเรกทอรีที่ได้รับการป้องกันแยก. htaccess สร้างเซสชัน memcache

คำตอบที่นี่ซับซ้อนมากมาย ในกรณีของฉันโดยเฉพาะฉันพบการแก้ไขที่สะอาดและง่ายสำหรับการออกจากระบบ ฉันยังไม่ได้ทดสอบใน Edge ในหน้าของฉันที่ฉันเข้าสู่ระบบฉันได้วางลิงค์ล็อกเอาต์ที่คล้ายกับสิ่งนี้:

<a href="https://MyDomainHere.net/logout.html">logout</a>

และในส่วนหัวของหน้า logout.html นั้น (ซึ่งได้รับการป้องกันโดย. htaccess ด้วย) ฉันมีหน้ารีเฟรชที่คล้ายกับสิ่งนี้:

<meta http-equiv="Refresh" content="0; url=https://logout:logout@MyDomainHere.net/" />

ที่ซึ่งคุณจะปล่อยให้คำว่า "ออกจากระบบ" ในสถานที่เพื่อล้างชื่อผู้ใช้และรหัสผ่านที่แคชไว้สำหรับเว็บไซต์

ฉันจะยอมรับว่าหากจำเป็นต้องลงชื่อเข้าใช้หลายหน้าโดยตรงจากจุดเริ่มต้นจุดเริ่มต้นแต่ละจุดจะต้องมีหน้า logout.html ที่เกี่ยวข้อง มิฉะนั้นคุณสามารถรวมศูนย์กลางการออกจากระบบได้โดยการแนะนำขั้นตอนผู้รักษาประตูเข้าสู่กระบวนการก่อนที่จะมีพรอมต์การเข้าสู่ระบบที่แท้จริง