2

ユーザーがWindows認証を使用して自分のサイトにログインした場合、ユーザーをログアウトして、再度認証する必要があるようにするにはどうすればよいですか?(これはIISの場合です)

たとえば、ユーザーは次のようにログインします。

auth

次に、$_SERVER変数には次のものが含まれます。

[REMOTE_ADDR] => 172.34.567.891
[REMOTE_HOST] => 172.34.567.891
[REMOTE_PORT] => 44601
[REMOTE_USER] => DOMAIN\username

また、ユーザーは、コンピューターを再起動するか、別のブラウザーを使用しない限り、Windows認証を使用してユーザー名またはパスワードの入力を再度求められることはありません。

ユーザーをPHPで再度認証するように強制するにはどうすればよいですか?

アップデート:

私はこれを行う方法を見つけましたが、それはクロームでのみ機能します(ログインが正しい場合でも、他のすべてのブラウザは401を無許可でスローします):

私のコード:

logout.php

    //clear session
    //then:
    $user = isset($_SESSION['userName']);
    $userNotSet = (!$user || (is_array($user) && count($user) == 0));
    
    
    if(!isset($_SESSION['401']) && $userNotSet) {
        $_SESSION['401'] = true;
        $realm = 'mysite';
        header('HTTP/1.1 401 Unauthorized');
        header('WWW-Authenticate: Digest realm="'.$realm.
           '",qop="auth",nonce="'.uniqid().'",opaque="'.md5($realm).'"');
        exit;
    }
    elseif($userNotSet) {
        header('HTTP/1.1 401 Unauthorized');
        list($domain, $user) = explode("\\", $_SERVER['REMOTE_USER']);
        $_SESSION['userName'] = $user;
        $_SESSION['LoggedIn'] = true;
    }
    else    {
        header('Location: '.WEBROOT.INDEX);
    }
    exit;

Chrome以外のブラウザでこれが機能しないのはなぜですか?クロスブラウザソリューションはありますか?

4

1 に答える 1

1

HTTP基本認証でPHPを使用している場合は、$_SERVER使用およびテストする必要のある2つの変数があり$_SERVER['PHP_AUTH_USER']ます$_SERVER['PHP_AUTH_PW']

ブラウザのHTTP基本認証ログインダイアログを強制的に表示するには、401ヘッダーを送信します。ユーザーがログインしているかどうかは関係ありません。いつでも401ヘッダーを送信して、ユーザーに資格情報の再入力を強制できます。

このコードは基本を示しています。

<?php

// If the force_login request variable exists, then we want the user to
// re-enter their login details.
if (isset($_GET['force_login']) && $_GET['force_login'] == 1) {
    header('WWW-Authenticate: Basic realm="realm"'); 
    header('HTTP/1.0 401 Unauthorized'); 
    exit;
}

// Login process
if (!$_SERVER['PHP_AUTH_USER']) {
    // The browser has not supplied $_SERVER['PHP_AUTH_USER'], so we need 
    // the user to log in 
    header('WWW-Authenticate: Basic realm="realm"'); 
    header('HTTP/1.0 401 Unauthorized'); 
    exit;

} else {
    // Test that the username/password combination are correct
    $expectedUsername = 'test';
    $expectedPassword = '1234';
    if ($_SERVER['PHP_AUTH_USER'] != $expectedUsername 
            && $_SERVER['PHP_AUTH_PW'] != $expectedPassword ) { 
        // not valid username/password - try again!
        header('WWW-Authenticate: Basic realm="realm"'); 
        header('HTTP/1.0 401 Unauthorized'); 
        exit;
    }
} 
// End login process


// The user is logged in here. we can display the page content
echo '<a href="?force_login=1">Force login</a>';

(補足として、HTTP基本認証を使用している場合は、SSLも使用していることを確認してください!)

于 2012-04-11T06:02:38.890 に答える