L'authentification HTTP de déconnexion via PHP

Quel est le corriger méthode de connexion de l'authentification HTTP dossier protégé?

Il y a des solutions qui peuvent atteindre cet objectif, mais ils sont potentiellement dangereux, car ils peuvent être buggy ou ne fonctionnent pas dans certaines circonstances et dans certains navigateurs. C'est pourquoi je suis à la recherche d'correcte et propre solution.

  • Veuillez préciser le but de votre déconnexion. Cela devrait-il être forcé de déconnexion (l'utilisateur de désactivation)? Simple fonction de déconnexion de l'utilisateur? Quelque chose d'autre?
  • Je ne comprends pas pourquoi cela est important, mais il est deux cas: désactivation basé sur des conditions d'application typiques de bouton de déconnexion. Veuillez expliquer pourquoi il est important, je vais le modifier directement dans la question.
  • Le "correct et propre solution" serait navigateurs ayant leur propre bouton de déconnexion que lorsque l'on clique dessus, fera le navigateur arrêter l'envoi de la Auth-têtes... On peut rêver, non?
  • Développeur Web de la Barre d'outils a "bouton".
  • Ce que Josef dit: web developer toolbar pour Firefox -> Miscellaneous -> Clear Private Data -> HTTP Authentication
InformationsquelleAutor Josef Sábl | 2009-01-16
  1. 102

    Mu. Pas de manière correcte existe, même pas une seule qui soit compatible sur tous les navigateurs.

    C'est un problème qui vient de la Spécification HTTP (section 15.6):

    HTTP existants les clients et les agents d'utilisateur conserve en général d'authentification
    informations indéfiniment. HTTP/1.1. ne pas fournir une méthode pour un
    serveur pour diriger les clients à jeter ces informations d'identification mises en cache.

    D'autre part, la section 10.4.2 dit:

    Si la demande déjà inclus Autorisation des informations d'identification, puis l'autoroute 401
    la réponse indique que l'autorisation a été refusée pour ceux
    les informations d'identification. Si la réponse 401 contient le même défi que les
    avant l'intervention, et l'agent utilisateur a déjà tenté
    l'authentification au moins une fois, alors l'utilisateur DOIT être présenté le
    entité qui a été donné dans la réponse, puisque cette entité pourrait
    inclure les informations de diagnostic.

    En d'autres termes, vous pouvez être en mesure d'afficher la boîte de dialogue de connexion de nouveau (comme @Karsten dit), mais le navigateur n'est pas à l'honneur de votre demande - afin de ne pas dépendre de ce (sig)en fonction de trop.

    • C'est un bug dans la RFC. W3C trop paresseux pour corriger. C'est tellement triste.
    • Comme @Jonathan Hanson a suggéré ci-dessous, vous pouvez utiliser un cookie de suivi avec l'authentification HTTP. C'est la meilleure méthode pour moi.
    • Essayez de ceci
    InformationsquelleAutor Piskvor
  2. 58

    Méthode qui fonctionne très bien dans Safari. Fonctionne aussi dans Firefox et Opera, mais avec un avertissement.

    Location: http://[email protected]/

    Cette raconte le navigateur pour ouvrir une URL avec un nouveau nom d'utilisateur, remplaçant la précédente.

    • Selon la RFC 3986 (URI: Syntaxe Générique) à la section 3.2.1. (Informations de l'utilisateur) l'utilisation de user:password@host est obsolète. En utilisant seulement http://[email protected]/ n'est pas et devrait fonctionner dans la plupart des cas.
    • +1 bonne méthode, il fonctionne comme prévu dans FF 4.0.1.
    • Obsolète signifie généralement que quelque chose ne devrait pas être utilisé car il peut être retiré à un certain point. Cela peut travailler pour vous maintenant, mais si vous l'utilisez, être préparé pour elle d'arrêter de travailler à un certain point. Une bonne solution si.
    • C'est qu'un serveur de redirection?
    • oui, c'est une redirection. Vous devez l'utiliser avec le statut 302.
    • Apparemment, un simple lien vers [email protected] fonctionne aussi (un "déconnecter" lien vers cette URL) au lieu d'une redirection http en PHP... aucun inconvénient à cela?
    • Attention: la soumission d'un Formulaire à l'aide de chemin d'accès relatif peut échouer lorsqu'il est effectué après un re-login(connexion à la déconnexion rapide), parce que l'adresse serait encore [email protected]/path et pas yourserver.example.com/path/
    • [email protected] fonctionne sans problème dans Chrome, mais demande une sécurité quistion dans Firefox. logout:[email protected] dose pas de Firefox promt une sécurité quistion. Aucun des deux url de travail dans IE8 :/
    • +1 pour le travail de hack, qui est tout ce que nous vraiment besoin ! Quand vous faites des tests 100 comptes d'utilisateur pour votre organisation sur le dire d'un VPN, il sortof enregistre votre journée.
    • Sur Chrome 45, après de vous déconnecter et de vous connecter à nouveau, invite est toujours popping-up...

    InformationsquelleAutor Kornel
  3. 45

    La réponse simple est que vous ne pouvez pas fiable déconnecter de l'authentification http.

    La réponse longue:

    Http-auth (comme le reste de la spécification HTTP) est destiné à être apatrides. Afin d'être "connecté" ou "déconnecté" n'est pas vraiment un concept qui a du sens. La meilleure façon de le voir est de demander, pour chaque requête HTTP (et n'oubliez pas de chargement de page est généralement de plusieurs demandes), "êtes-vous autorisé à faire ce que vous demandez?". Le serveur voit chaque demande en tant que nouveau et non lié à toutes les demandes précédentes.

    Navigateurs ont choisi de se rappeler les informations d'identification que vous dites sur la première 401, et ré-envoyer l'insu de l'utilisateur la permission explicite sur les demandes ultérieures. C'est une tentative de donner à l'utilisateur la "connecté/déconnecté" modèle qu'ils attendent, mais c'est purement une bidouille. C'est le navigateur c'est la simulation de cette persistance de l'état. Le serveur web est complètement ignorant de lui.

    Afin de "se déconnecter", dans le contexte de http-auth est purement une simulation fournie par le navigateur, et donc en dehors de l'autorité du serveur.

    Oui, il y a kludges. Mais ils cassent RESTful-ness (si c'est de la valeur pour vous) et ils ne sont pas fiables.

    Si vous avez absolument besoin d'un connecté/déconnecté (e modèle pour votre site d'authentification, le meilleur pari est un cookie de suivi, avec la persistance de l'état stocké sur le serveur, d'une certaine manière (mysql, sqlite, fichier plat, etc). Cela exigera que toutes les demandes soient évaluées, par exemple, avec PHP.

    InformationsquelleAutor Jonathan Hanson
  4. 26

    Solution de contournement

    Vous pouvez le faire à l'aide de Javascript:

    <html><head>
<script type="text/javascript">
function logout() {
    var xmlhttp;
    if (window.XMLHttpRequest) {
          xmlhttp = new XMLHttpRequest();
    }
    //code for IE
    else if (window.ActiveXObject) {
      xmlhttp=new ActiveXObject("Microsoft.XMLHTTP");
    }
    if (window.ActiveXObject) {
      //IE clear HTTP Authentication
      document.execCommand("ClearAuthenticationCache");
      window.location.href='/where/to/redirect';
    } else {
        xmlhttp.open("GET", '/path/that/will/return/200/OK', true, "logout", "logout");
        xmlhttp.send("");
        xmlhttp.onreadystatechange = function() {
            if (xmlhttp.readyState == 4) {window.location.href='/where/to/redirect';}
        }


    }


    return false;
}
</script>
</head>
<body>
<a href="#" onclick="logout();">Log out</a>
</body>
</html>

    Ce qui est fait ci-dessus est:

    • pour IE - clair juste auth-cache et de rediriger quelque part

    • pour les autres navigateurs - envoyer un XMLHttpRequest les coulisses de avec "déconnexion" nom de connexion et mot de passe. Nous avons besoin de l'envoyer à un certain chemin qui sera de retour de 200 OK pour cette demande (c'est à dire qu'il ne devrait pas exiger l'authentification HTTP).

    Remplacer '/where/to/redirect' avec le chemin de redirection après la connexion et de remplacer '/path/that/will/return/200/OK' avec certains de chemin d'accès sur votre site, qui sera de retour de 200 OK.

    • C'est en quelque sorte une solution de contournement pour la connexion d'un autre utilisateur. Mais ce qui fonctionne vraiment et qui mérite plus de crédit.
    • Je pense que c'est la meilleure réponse. Comme indiqué dans le ceci réponse à une question similaire il y a peut être un avantage dans certains randomisation le mot de passe.
    • C'était ce que je voulais, a travaillé dans tous les navigateurs, pas de problèmes. A gardé le "déconnexion" de la page j'ai hérité intacte. Je n'ai pas forcément envie d'utiliser JS (peut-être de manière irrationnelle), mais les autres réponses toutes avaient des problèmes de navigateur et cela a marché parfaitement.
    • Je ne peux pas faire ce travail dans la manière dont est expliqué. Quand je suis retourné à la zone sécurisée, le navigateur s'authentifie une fois de plus avec l'envoi de la dernière utilisation des informations d'identification valides dans l'en-tête. Cependant, avec un peu de changement ça a fonctionné pour moi. J'ai changé la réponse 200 OK avec un en-tête avec le même Royaume de la zone protégée, mais en acceptant qu'une "déconnexion:déconnexion" user/pass. De cette façon, l'utilisateur connecté avec cette "déconnexion" de l'utilisateur, et c'est l'utilisateur qui essais lorsqu'il retourne à la zone sécurisée. Zone sécurisée rejeter ce user/pass, de sorte que l'utilisateur peut modifier ses informations d'identification.
    • Cela ne fonctionne pas comme il est expliqué. Testé dans Chrome 40 et Firefox 35.
    • Fonctionne très bien dans Safari 9
    • \o/\o/ solution Exceptionnelle!! Je vous remercie beaucoup. Fonctionne parfaitement en Chrome 70.0.3538, Internet Explorer 11.345 et Microsoft Bord. Le plus important... c'est le silence, car il n'a pas d'afficher le navigateur de l'invite vous demandant de fournir de nom d'utilisateur/mot de passe. L'astuce c'est d'utiliser la 4e et de la 5e paramètres dans xmlhttp.open().

    InformationsquelleAutor Anton Mochalin
  5. 13

    Solution de contournement (pas un propre, agréable (ou même en travaillant! voir les commentaires) de la solution):

    Désactiver ses identifiants qu'une seule fois.

    Vous pouvez déplacer votre HTTP logique d'authentification en PHP, par l'envoi d'en-têtes appropriés (si ce n'est connecté):

    Header('WWW-Authenticate: Basic realm="protected area"');
Header('HTTP/1.0 401 Unauthorized');

    Et l'analyse de l'entrée avec:

    $_SERVER['PHP_AUTH_USER'] //httpauth-user
$_SERVER['PHP_AUTH_PW']   //httpauth-password

    Si la désactivation de ses lettres de créance un temps devrait être assez simple.

    • Le problème avec cette solution est que: Vous laissez à-dire à savoir que les informations d'identification ne sont pas Ok. Il affiche la boîte de dialogue de connexion avec des champs vides (pas de l'affichage des valeurs stockées dans le gestionnaire de mot de passe). Mais lorsque vous cliquez sur annuler et de l'actualisation de la page, il envoie des informations d'identification stockées, donc de vous connecter à nouveau.
    • Downvoted; Comme Josef Sable commenté, cela ne résout pas le problème à la main.
    InformationsquelleAutor Karsten
  6. 7

    Déconnexion à partir de l'adresse HTTP de Base d'Authentification en deux étapes

    Disons que j'ai une HTTP Basic Auth domaine nommé “Mot de passe protégé”, et Bob est connecté. Pour vous déconnecter je fais 2 requêtes AJAX:

    1. Script d'accès /logout_step1. Il ajoute un temporaire aléatoire de l'utilisateur pour .htusers et répond avec son login et mot de passe.
    2. Script d'accès /logout_step2 authentifié avec le temporaire de connexion de l'utilisateur et le mot de passe. Le script supprime l'utilisateur temporaire et l'ajoute en-tête de la réponse: WWW-Authenticate: Basic realm="Password protected"

    À ce point de navigateur oublié de Bob informations d'identification.

    • Wow! Cela mérite vraiment un +1 pour la pureté de l'inventivité, même si il est complètement cinglé chose à faire.
    InformationsquelleAutor Vlad GURDIGA
  7. 7

    Ma solution pour le problème est le suivant. Vous pouvez trouver la fonction http_digest_parse , $realm et $users dans le deuxième exemple de cette page: http://php.net/manual/en/features.http-auth.php. 

    session_start();
function LogOut() {
session_destroy();
session_unset($_SESSION['session_id']);
session_unset($_SESSION['logged']);
header("Location: /", TRUE, 301);   
}
function Login(){
global $realm;
if (empty($_SESSION['session_id'])) {
session_regenerate_id();
$_SESSION['session_id'] = session_id();
}
if (!IsAuthenticated()) {  
header('HTTP/1.1 401 Unauthorized');
header('WWW-Authenticate: Digest realm="'.$realm.
'",qop="auth",nonce="'.$_SESSION['session_id'].'",opaque="'.md5($realm).'"');
$_SESSION['logged'] = False;
die('Access denied.');
}
$_SESSION['logged'] = True;  
}
function IsAuthenticated(){
global $realm;
global $users;
if  (empty($_SERVER['PHP_AUTH_DIGEST']))
return False;
//check PHP_AUTH_DIGEST
if (!($data = http_digest_parse($_SERVER['PHP_AUTH_DIGEST'])) ||
!isset($users[$data['username']]))
return False;//invalid username
$A1 = md5($data['username'] . ':' . $realm . ':' . $users[$data['username']]);
$A2 = md5($_SERVER['REQUEST_METHOD'].':'.$data['uri']);
//Give session id instead of data['nonce']
$valid_response =   md5($A1.':'.$_SESSION['session_id'].':'.$data['nc'].':'.$data['cnonce'].':'.$data['qop'].':'.$A2);
if ($data['response'] != $valid_response)
return False;
return True;
}
    InformationsquelleAutor Pie86
  8. 4

    Généralement, une fois qu'un navigateur est demandé à l'utilisateur des informations d'identification et leur a fourni à un site web particulier, il va continuer à le faire sans demander de confirmation. Contrairement aux différents moyens que vous pouvez effacer les cookies sur le côté client, je ne sais pas d'une manière similaire à demander au navigateur d'oublier son fourni des informations d'authentification.

    • Je crois qu'il y a une option pour supprimer les sessions authentifiées lorsque vous sélectionnez "Effacer les données privées" dans Firefox
    • Aussi Développeur Web extension de Barre d'outils pour Firefox offre une fonction pour supprimer HTTP Authentifications. Mais c'est hors de question que nous avons vraiment ne peut pas demander à nos utilisateurs de télécharger des extensions de FF ou exécuter cryptique commandes du navigateur 🙂
    • Par défaut de Firefox façon de se déconnecter de HTTP auth est disponible sous la rubrique "Outils" > "supprimer l'Historique Récent...", que la case à cocher "Connexions Active". Ce n'est ni intuitive ni ne permet de vous connecter uniquement d'un domaine, vous devez toujours vous déconnecter de chaque page.
    InformationsquelleAutor Greg Hewgill
  9. 2

    Trac, par défaut, utilise l'Authentification HTTP ainsi. Déconnexion ne fonctionne pas et ne peut pas être fixé:

    • C'est un problème avec l'authentification HTTP régime lui-même, et il n'y a rien que nous pouvons faire dans le Trac pour le fixer correctement.
    • Il n'existe actuellement aucune solution de contournement (JavaScript ou autre) qui fonctionne avec tous les principaux navigateurs.

    À partir de: http://trac.edgewall.org/ticket/791#comment:103

    Dirait qu'il n'y a pas de travail, de répondre à la question, que le problème a été signalé il y a sept ans et il a le sens parfait: HTTP est sans état. Une demande est faite avec les informations d'authentification ou pas. Mais c'est une question de la client l'envoi de la demande, et non pas le serveur de réception. Le serveur ne peut dire si l'URI de la requête a besoin d'une autorisation ou pas.

    InformationsquelleAutor hakre
  10. 2

    J'avais besoin de le réinitialiser .htaccess autorisation, alors j'ai utilisé ceci:

    <?php
if (!isset($_SERVER['PHP_AUTH_USER'])) {
header('WWW-Authenticate: Basic realm="My Realm"');
header('HTTP/1.0 401 Unauthorized');
echo 'Text to send if user hits Cancel button';
exit;
}
?>

    Trouvé ici :
    http://php.net/manual/en/features.http-auth.php

    Allez comprendre.

    Un certain nombre de solutions de résider sur cette page et les notes au bas: le Lynx, n'est pas évident de l'auth comme les autres navigateurs 😉

    Je l'ai testé sur mes navigateurs installés et une fois fermé, chaque navigateur semble que de manière cohérente nécessite reauth sur la rentrée.

    • Cela ne semble pas fonctionner, j'obtiens l'annuler texte sans aucun pop-up boîte de dialogue de connexion.
    • S'avère, l'envoi de la WWW-Authenticate a été à l'origine du problème, de se débarrasser de ce connecté à me sortir automatiquement.
    • Et à l'inverse, il semble que PAS envoi de l' WWW-Authenticate le temps de régler le problème dans un navigateur (Chrome) provoque un autre navigateur (Firefox) afin de mémoriser les informations d'identification et de les envoyer sur la demande suivante, ce qui entraîne un renouvellement automatique de connexion! Argh!
    • Ensuite, regardez UA et de faire l'un ou l'autre semble être une solution
    InformationsquelleAutor Dooley
  11. 2

    Ce peut-être pas la solution qui a été cherché mais je l'ai résolu comme ça.
    j'ai 2 scripts pour le processus de fermeture de session.

    logout.php

    <?php
header("Location: http://[email protected]/log.php");
?>

    log.php

    <?php
header("location: https://google.com");
?>

    De cette façon, je n'obtiens pas un avertissement et ma session est terminée

    • C'était la seule solution vraiment fonctionné pour moi! Testé sur Firefox 37 et le 41
    InformationsquelleAutor Kevin
  12. 1

    Autant que je sache, il n'y a pas de propre façon de mettre en œuvre une "déconnexion" de la fonction lors de l'utilisation de htaccess (c'est à dire basé sur HTTP) d'authentification.

    C'est parce que l'authentification utilise le code d'erreur HTTP '401' pour dire au navigateur que les informations d'identification sont nécessaires, à quel point le navigateur demande à l'utilisateur pour plus de détails. À partir de là, jusqu'à ce que le navigateur est fermé, il sera toujours envoyer les informations d'identification sans donner d'autres indications.

    InformationsquelleAutor Alnitak
  13. 1

    La meilleure solution que j'ai trouvé pour l'instant est (c'est une sorte de pseudo-code, la $isLoggedIn est de la pseudo variable pour http auth):

    Au moment de la "déconnexion" juste stocker des informations pour la session en disant que l'utilisateur est déconnecté.

    function logout()
{
//$isLoggedIn = false; //This does not work (point of this question)
$_SESSION['logout'] = true;
}

    Dans l'endroit où je l'ai vérifier pour l'authentification-je développer la condition:

    function isLoggedIn()
{
return $isLoggedIn && !$_SESSION['logout'];
}

    Session est un peu liée à l'état de l'authentification http de sorte que l'utilisateur reste connecté aussi longtemps qu'il garde le navigateur est ouvert et aussi longtemps que l'authentification http persiste dans le navigateur.

    • Alors que l'authentification http de base est Reposant, les séances ne sont pas.
    InformationsquelleAutor Josef Sábl
  14. 1

    Peut-être que je manque le point.

    Le moyen le plus fiable que j'ai trouvé pour mettre fin à l'Authentification HTTP est de fermer le navigateur et toutes les fenêtres du navigateur. Vous pouvez fermer une fenêtre de navigateur à l'aide de Javascript, mais je ne pense pas que vous pouvez fermer toutes les fenêtres du navigateur.

    • pour info certains navigateurs ne pas fermer une fenêtre si c'est le seul onglet ouvert, de sorte que le point est discutable vraiment
    • Ces longues années j'ai eu la tâche de mettre en œuvre le bouton de déconnexion sans fermer la fenêtre 🙂 Mais peut-être qu'ils ne s'attardera pas sur "ne pas fermer la fenêtre". Mais bon, c'est une solution simple qui peut travailler pour quelqu'un et j'ai raté ça pour être honnête.
    InformationsquelleAutor Toby Allen
  15. 0

    Tandis que les autres ont raison de dire qu'il est impossible de déconnexion de l'authentification http de base, il existe des moyens pour mettre en œuvre l'authentification qui se comporter de la même façon. Manifestement, l'un des appeoach est d'utiliser auth_memcookie. Si vous voulez vraiment mettre en œuvre une authentification HTTP Basique (c'est à dire utiliser le navigateur boîtes de dialogue pour l'enregistrement dans trather qu'un formulaire HTTP) à l'aide de ce - il suffit de définir l'authentification à un autre .htaccess protégé répertoire contenant un script PHP qui redirige vers où te l'utilisateur est venu après createing la memcache session.

    InformationsquelleAutor symcbean
  16. 0

    Le seul moyen efficace que j'ai trouvé pour effacer le PHP_AUTH_DIGEST ou PHP_AUTH_USER ET PHP_AUTH_PW informations d'identification est l'appel de l'en-tête HTTP/1.1 401 Unauthorized.

    function clear_admin_access(){
header('HTTP/1.1 401 Unauthorized');
die('Admin access turned off');
}
    InformationsquelleAutor CIRCLE
  17. 0

    Il y a beaucoup de super - complexe - des réponses ici. Dans mon cas particulier, j'ai trouvé un endroit propre et simple correctif pour la déconnexion. Je n'ai pas encore tester en Bordure.
    Sur ma page que j'ai connecté à, j'ai placé un lien de déconnexion similaire à ceci:

    <a href="https://MyDomainHere.net/logout.html">logout</a>

    Et dans la tête de qui logout.html page (qui est également protégé par la .htaccess) j'ai un rafraichissement de la page similaire à ceci:

    <meta http-equiv="Refresh" content="0; url=https://logout:[email protected]/" />

    Où vous laissez les mots "déconnexion" en place pour effacer le nom d'utilisateur et le mot de passe mis en cache pour le site.

    J'avoue que si plusieurs pages nécessaires pour être en mesure d'être directement connecté à partir du début, chacun de ces points d'entrée ont besoin de leur propre correspondant logout.html page. Sinon, vous pouvez centraliser la déconnexion par l'introduction d'un supplément de gatekeeper étape dans le processus avant l'invite de connexion, nécessitant l'entrée d'une phrase, pour atteindre une destination de connexion.

    • quand aller de l'avant, cela fonctionne, cela ne journal de, mais le navigateur en arrière, l'histoire peut encore rétablir la session.
    InformationsquelleAutor johnwayne