我想在PHP脚本中使用HTTP摘要授权对另一个站点进行身份验证。
我的功能仅作为 WWW-Authenticate 标头的内容参数,我想生成正确的响应(授权标头)。我找到了很多例子来解释如何以另一种方式实现这一点(浏览器对我的脚本进行身份验证)但不是这种方式。我缺少能够解析WWW-Authenticate标头内容和生成响应的功能。是否有一些标准函数或公共库实现了这个?
答案 0 :(得分:7)
好的,还没有答案,我已经调查了在这里撒谎的python实现并将其重写为PHP。这是最简单的代码。仅支持 md5 散列,但适用于我:
function H($param) {
return md5($param);
}
function KD($a,$b) {
return H("$a:$b");
}
function parseHttpDigest($digest) {
$data = array();
$parts = explode(", ", $digest);
foreach ($parts as $element) {
$bits = explode("=", $element);
$data[$bits[0]] = str_replace('"','', $bits[1]);
}
return $data;
}
function response($wwwauth, $user, $pass, $httpmethod, $uri) {
list($dummy_digest, $value) = split(' ', $wwwauth, 2);
$x = parseHttpDigest($value);
$realm = $x['realm'];
$A1 = $user.":".$realm.":".$pass;
$A2 = $httpmethod.":".$uri;
if ($x['qop'] == 'auth') {
$cnonce = time();
$ncvalue = 1;
$noncebit = $x['nonce'].":".$ncvalue.":".$cnonce.":auth:".H($A2);
$respdig = KD(H($A1), $noncebit);
}else {
# FIX: handle error here
}
$base = 'Digest username="'.$user.'", realm="';
$base .= $x['realm'].'", nonce="'.$x['nonce'].'",';
$base .= ' uri="'.$uri.'", cnonce="'.$cnonce;
$base .= '", nc="'.$ncvalue.'", response="'.$respdig.'", qop="auth"';
return $base;
}
用法:
# TEST
$www_header = 'Digest realm="TEST", nonce="356f2dbb8ce08174009d53c6f02c401f", algorithm="MD5", qop="auth"';
print response($www_header, "user", "password", "POST", "/my_url_query");
答案 1 :(得分:1)
不知道PHP中现成的客户端实现;您必须实现the RFC,就像您的脚本是浏览器一样,对远程服务器进行身份验证。 Wikipedia's page on HTTP Digest has a nice example
(并不是那么难 - 一些MD5哈希。在构建服务器端时我遇到了一些问题:字符串分隔符是“:”(冒号),请求方法也是哈希)