PHP 的 HTTP 認證機制僅在 PHP 以 Apache 模塊方式運行時才有效，因此該功能不適用于 CGI 版本。在 Apache 模塊的 PHP 腳本中，可以用 header() 函數來向客戶端瀏覽器發送“Authentication Required”信息，使其彈出一個用戶名／密碼輸入窗口。當用戶輸入用戶名和密碼后，包含有 URL 的 PHP 腳本將會加上 預定義變量 PHP_AUTH_USER ， PHP_AUTH_PW 和 AUTH_TYPE 被再次調用，這三個變量分別被設定為用戶名，密碼和認證類型。預定義變量保存在 $_SERVER 或者 $HTTP_SERVER_VARS 數組中。支持“Basic”和“Digest”（自 PHP 5.1.0 起）認證方法。請參閱 header() 函數以獲取更多信息。

PHP 版本問題: Autoglobals 全局變量，包括 $_SERVER 等，自 PHP 4.1.0 起有效， $HTTP_SERVER_VARS 從 PHP 3 開始有效。

以下是在頁面上強迫客戶端認證的腳本范例.

例子 34-1. Basic HTTP 認證范例

1. <?php 
2.    if (!isset( $_SERVER [ 'PHP_AUTH_USER' ])) {  
3.      header ( 'WWW-Authenticate: Basic realm="My Realm"' );  
4.      header ( 'HTTP/1.0 401 Unauthorized' );  
5.     echo 'Text to send if user hits Cancel button' ;  
6.     exit; //開源代碼Vevb.com 
7.   } else {  
8.     echo "<p>Hello { $_SERVER [ 'PHP_AUTH_USER' ]} .</p>" ;  
9.     echo "<p>You entered { $_SERVER [ 'PHP_AUTH_PW' ]} as your password.</p>" ;  
10.   }  
11. ?> 

例子 34-2. Digest HTTP 認證范例

本例演示怎樣實現一個簡單的 Digest HTTP 認證腳本,更多信息請參考 RFC 2617.

1. <?php  
2. $realm = 'Restricted area' ; 
3. //user => password  
4. $users = array( 'admin' => 'mypass' , 'guest' => 'guest' ); 
5.  
6. if (!isset( $_SERVER [ 'PHP_AUTH_DIGEST' ])) {  
7.      header ( 'HTTP/1.1 401 Unauthorized' );  
8.      header ( 'WWW-Authenticate: Digest realm="' . $realm .  
9.             '" qop="auth" nonce="' . uniqid (). '" opaque="' . md5 ( $realm ). '"' ); 
10.     die( 'Text to send if user hits Cancel button' );  
11. } 
12. // analize the PHP_AUTH_DIGEST variable  
13. preg_match ( '/username="(?P<username>.*)",s*realm="(?P<realm>.*)",s*nonce="(?P<nonce>.*)",s*uri="(?P<uri>.*)",s*response="(?P<response>.*)",s*opaque="(?P<opaque>.*)",s*qop=(?P<qop>.*),s*nc=(?P<nc>.*),s*cnonce="(?P<cnonce>.*)"/' , $_SERVER [ 'PHP_AUTH_DIGEST' ], $digest ); 
14. if (!isset( $users [ $digest [ 'username' ]]))  
15.     die( 'Username not valid!' ); 
16.  
17. // generate the valid response  
18. $A1 = md5 ( $digest [ 'username' ] . ':' . $realm . ':' . $users [ $digest [ 'username' ]]);  
19. $A2 = md5 ( $_SERVER [ 'REQUEST_METHOD' ]. ':' . $digest [ 'uri' ]);  
20. $valid_response = md5 ( $A1 . ':' . $digest [ 'nonce' ]. ':' . $digest [ 'nc' ]. ':' . $digest [ 'cnonce' ]. ':' . $digest [ 'qop' ]. ':' . $A2 ); 
21. if ( $digest [ 'response' ] != $valid_response )  
22.     die( 'Wrong Credentials!' ); 
23. // ok, valid username & password  
24. echo 'Your are logged in as: ' . $digest [ 'username' ]; 
25. ?> 

兼容性問題:在編寫 HTTP 標頭代碼時請格外小心,為了對所有的客戶端保證兼容性,關鍵字“Basic”的第一個字母必須大寫為“B”,分界字符串必須用雙引號（不是單引號）引用；并且在標頭行 HTTP/1.0 401 中,在 401 前必須有且僅有一個空格.

在以上例子中,僅僅只打印出了 PHP_AUTH_USER 和 PHP_AUTH_PW 的值,但在實際運用中,可能需要對用戶名和密碼的合法性進行檢查,或許進行數據庫教程的查詢,或許從 dbm 文件中檢索.

注意有些 Internet Explorer 瀏覽器本身有問題。它對標頭的順序顯得似乎有點吹毛求疵。目前看來在發送 HTTP/1.0 401 之前先發送 WWW-Authenticate 標頭似乎可以解決此問題。

自 PHP 4.3.0 起,為了防止有人通過編寫腳本來從用傳統外部機制認證的頁面上獲取密碼,當外部認證對特定頁面有效,并且 安全模式 被開啟時,PHP_AUTH 變量將不會被設置,但無論如何, REMOTE_USER 可以被用來辨認外部認證的用戶,因此可以用 $_SERVER['REMOTE_USER'] 變量.

配置說明:PHP 用是否有 AuthType 指令來判斷外部認證機制是否有效。

注意,這仍然不能防止有人通過未認證的 URL 來從同一服務器上認證的 URL 上偷取密碼.

Netscape Navigator 和 Internet Explorer 瀏覽器都會在收到 401 的服務端返回信息時清空所有的本地瀏覽器整個域的 Windows 認證緩存,這能夠有效的注銷一個用戶,并迫使他們重新輸入他們的用戶名和密碼,有些人用這種方法來使登錄狀態“過期”,或者作為“注銷”按鈕的響應行為.

例子 34-3.強迫重新輸入用戶名和密碼的 HTTP 認證的范例

1. <?php  
2.    function authenticate () {  
3.      header ( 'WWW-Authenticate: Basic realm="Test Authentication System"' ); 
4.      header ( 'HTTP/1.0 401 Unauthorized' );  
5.     echo "You must enter a valid login ID and password to access this resourcen" ;  
6.     exit;  
7.   } 
8.   if (!isset( $_SERVER [ 'PHP_AUTH_USER' ]) ||  
9.       ( $_POST [ 'SeenBefore' ] == 1 && $_POST [ 'OldAuth' ] == $_SERVER [ 'PHP_AUTH_USER' ])) {  
10.     authenticate ();  
11.   }  
12.   else {  
13.    echo "<p>Welcome: { $_SERVER [ 'PHP_AUTH_USER' ]} <br />" ;  
14.    echo "Old: { $_REQUEST [ 'OldAuth' ]} " ;  
15.    echo "<form action=' { $_SERVER [ 'PHP_SELF' ]} ' METHOD='post'> n " ;  
16.    echo "<input type='hidden' name='SeenBefore' value='1' />n" ;  
17.    echo "<input type='hidden' name='OldAuth' value=' { $_SERVER [ 'PHP_AUTH_USER' ]} ' /> n " ;  
18.    echo "<input type='submit' value='Re Authenticate' />n" ;  
19.    echo "</form></p>n" ;  
20.   } 
21. ?> 

該行為對于 HTTP 的 Basic 認證標準來說并不是必須的,因此不能依靠這種方法,對 Lynx 瀏覽器的測試表明 Lynx 在收到 401 的服務端返回信息時不會清空認證文件,因此只要對認證文件的檢查要求沒有變化,只要用戶點擊“后退”按鈕,再點擊“前進”按鈕,其原有資源仍然能夠被訪問,不過,用戶可以通過按“_”鍵來清空他們的認證信息.

在下例中,我們是使用$PHP_AUTH_USER和$PHP_AUTH_PW這兩個變量來驗證進入者是否合法并允許進入。在本例中被允許登錄的用戶名稱和密碼對分別為tnc和nature:

1. <?php 
2. if(!isset($PHP_AUTH_USER))  
3. {  
4. Header("WWW-Authenticate: Basic realm="My Realm"");  
5. Header("HTTP/1.0 401 Unauthorized");  
6. echo "Text to send if user hits Cancel buttonn";  
7. exit;  
8. }  
9. else  
10. {  
11. if ( !($PHP_AUTH_USER=="tnc" && $PHP_AUTH_PW=="nature") )  
12. {  
13. // 如果是錯誤的用戶名稱/密碼對，強制再驗證  
14. Header("WWW-Authenticate: Basic realm="My Realm"");  
15. Header("HTTP/1.0 401 Unauthorized");  
16. echo "ERROR : $PHP_AUTH_USER/$PHP_AUTH_PW is invalid.";  
17. exit;  
18. }  
19. else  
20. {  
21. echo "Welcome tnc!";  
22. }  
23. ?>  

事實上再實際引用中不大可能如上面使用代碼段明顯的用戶名稱/密碼對,而是利用數據庫或者加密的密碼文件存取它們.

6.3 根據指定的驗證信息核實用戶身份

首先，我們可以使用以下代碼確定用戶是否已經輸入了用戶名和密碼,并顯示出用戶輸入的信息.

1. <?php  
2. if (!isset($PHP_AUTH_USER)) {  
3. header(’WWW-Authenticate: Basic realm="My Private Stuff"’);  
4. header(’HTTP/1.0 401 Unauthorized’);  
5. echo ’Authorization Required.’;  
6. exit;  
7. }  
8. else {  
9. echo "<P>You have entered this username: $PHP_AUTH_USER<br>  
10. You have entered this password: $PHP_AUTH_PW<br>  
11. The authorization type is: $PHP_AUTH_TYPE</p>";  
12. }  
13. ?> 

說明:

isset（）函數用于確定某個變量是否已被賦值,根據變量值是否存在,返回true或false.

header（）函數用于發送特定的HTTP標頭,注意,使用header（）函數時,一定要在任何產生實際輸出的HTML或PHP代碼前面調用該函數.

雖然上述代碼相當簡單,沒有根據任何實際值對用戶輸入的用戶名和密碼進行有效驗證,但是至少我們了解了如何使用PHP在客戶端產生輸入對話框.

下面,我們就來了解一下如何根據指定的驗證信息核實用戶身份,代碼如下:

1. <?php  
2. if (!isset($PHP_AUTH_USER)) {  
3. header(’WWW-Authenticate: Basic realm="My Private Stuff"’);  
4. header(’HTTP/1.0 401 Unauthorized’);  
5. echo ’Authorization Required.’;  
6. exit;  
7. }  
8. else if (isset($PHP_AUTH_USER)) {  
9. if (($PHP_AUTH_USER != "admin") || ($PHP_AUTH_PW != "123")) {  
10. header(’WWW-Authenticate: Basic realm="My Private Stuff"’);  
11. header(’HTTP/1.0 401 Unauthorized’);  
12. echo ’Authorization Required.’;  
13. exit;  
14. } else {  
15. echo "<P>You’re authorized!</p>";  
16. }  
17. }  
18. ?> 

在這里,我們首先檢查用戶是否已經輸入了用戶名稱和密碼,如果沒有則彈出相應對話框要求用戶輸入身份信息,隨后,我們通過判斷用戶輸入的信息是否符合admin/123這一指定用戶帳號來授予用戶訪問權限或提示用戶再次輸入正確的信息,這種方法適用于所有用戶都使用同一登錄帳號的網站.

6.4 另一種簡易的密碼驗證 

如果你是在windows98下面編寫和運行著你的PHP腳本,或者是你在Linux下面按默認設置,將PHP安裝成一個CGI程序的話,你將無法使用上面的PHP程序來實現驗證功能,為此,無邊給大家提供了另外一種簡易的密碼驗證的方法,雖然實用性不大,但是拿來學習還是挺好的.

1. <?php 
2. if($_POST[Submit]=="提交"){  //如果用戶提交了數據，則執行操作 
3. $password=$_POST[password];　　　　//獲取用戶輸入的數據，并保存在變量 password 中 
4. $cpassword=$_POST[cpassword];   //獲取用戶輸入的確認數據，保存在變量 $cpassord 中 
5. if(emptyempty($password) || emptyempty($cpassword)) 
6. { 
7.     die("密碼不可空!"); 
8. } 
9. elseif ( ((strlen($password) < 5) || (strlen($password) > 15))) 
10. { 
11.     die("密碼長度在5和15之間"); 
12. } 
13.    //--- 值比較 
14. elseif ( !(strlen($password) == strlen($cpassword)) ) 
15. { 
16.     die("兩次輸入密碼不匹配! "); 
17. } 
18. elseif( !($password === $cpassword)) //值和數據類型比較 
19. { 
20. 　  die("兩次密碼不匹配! "); 
21. } 
22. else  //循環輸出密碼，因為是密碼所以輸出*號  
23. { 
24.     for ($i=0;$i<strlen($password);$i++) 
25.       { 
26.             echo "*"; 
27.       } 
28. } 
29. } 
30. ?> 
31. <html> 
32. <head> 
33. <meta http-equiv="Content-Type" content="text/html; charset=gb2312"> 
34. <title>表單驗證-密碼字段驗證</title> 
35. </head> 
36. <body> 
37. <form name="form1" method="post" action="<?=$_SERVER['PHP_SELF'] ?>"> 
38. 請輸入密碼：<input type="text" name="password"><br> 
39. 確認密碼：<input type="password" name="cpassword"><br> 
40. <input type="submit" name="Submit" value="提交"> 
41. </form> 
42. </body> 
43. </html>