PHP Digérer auth, déconnexion

Est-il un moyen de déconnexion d'une authentification digest fait en php.

J'ai essayé la fonction unset($_SERVER["PHP_AUTH_DIGEST"]);
Mais il l'habitude de demander à se reconnecter.
Je sais que si je ferme le navigateur, puis il va travailler et voici mes fonctions.

    function login(){
        $realm = "Restricted area";
        $users = array("jamesm"=>"");
        if (empty($_SERVER["PHP_AUTH_DIGEST"])) {
            header("HTTP/1.1 401 Unauthorized");
            header("WWW-Authenticate: Digest realm=\"{$realm}\",qop=\"auth\",nonce=\"".uniqid()."\",opaque=\"".md5($realm)."\"");
            return false;
        }
        if (!($data = http_digest_parse($_SERVER["PHP_AUTH_DIGEST"])) || !isset($users[$data["username"]]))
            return false;
        $A1 = md5($data["username"] . ":{$realm}:{$users[$data["username"]]}");
        $A2 = md5($_SERVER["REQUEST_METHOD"].":{$data["uri"]}");
        $valid_response = md5("{$A1}:{$data["nonce"]}:{$data["nc"]}:{$data["cnonce"]}:{$data["qop"]}:{$A2}");
        if ($data["response"] != $valid_response)
            return false;
        return true;
    }
    function logout(){
        unset($_SERVER["PHP_AUTH_DIGEST"]);
        return true;
    }

Que dois-je besoin d'ajouter à la fonction de déconnexion pour terminer cette off.

Si je change le royaume, il fonctionne, mais je ne veux pas qu'il soit changé.

  • Double de l'authentification HTTP de déconnexion via PHP. La réponse: Non.
  • Je sais que cela peut être fait, juste ne sais pas comment.
  • fermez le navigateur est le seul moyen, que l'information est enregistrée à l'intérieur du navigateur
InformationsquelleAutor JamesM-SiteGen | 2011-01-05
  1. 10

    La suppression de la variable $_SERVER['PHP_AUTH_DIGEST'] n'aura aucun effet. Le problème est, il n'est pas vraiment une "bonne" réponse à la tâche que vous avez défini.

    La spécification HTTP, n'est pas techniquement le lui permettent, mais dans la pratique, la plupart des navigateurs, il y aura effectivement de "déconnecter l'utilisateur" si vous leur envoyez un autre 401. Par php.net/http-auth:

    Netscape Navigator et Internet Explorer sera clairement le navigateur local de la fenêtre d'authentification de cache pour le royaume lors de la réception d'une réponse du serveur de 401. Cela peut effectivement "journal" d'un utilisateur, les obligeant à re-entrer leur nom d'utilisateur et mot de passe. Certaines personnes utilisent ce "time out" des identifiants de connexion, ou de fournir un "log out" bouton.

    À partir de votre code, la méthode la plus simple est probablement quelque chose comme:

    function logout(){
    header('HTTP/1.1 401 Unauthorized');
    return true;
}

    mais, encore une fois, ce n'est pas réellement quelque chose approuvé par la spécification HTTP.

    • Il fonctionne, mais la page de déconnexion demande de connexion. et ne peux pas me connecter via il. En fait, je ne peux pas accéder à tous les. oh il connecté-moi bien, juste ne pouvez pas vous connecter à nouveau. Il a également eu qu'à donner header("HTTP/1.1 401 Unauthorized"); pas de www-autherticate de nouveau.
    • Bon à savoir, je n'étais pas sûr si Digérer nécessaire que - je n'ai pas encore mis en œuvre Digérer en quoi que ce soit de ma propre encore.
    • Je trouve que quelque chose comme ce qui suit fonctionne très bien pour moi: codepad.org/BUJvSmnm Notez que, dans mon cas, j'ai trouvé au moins un navigateur (Firefox 3.6) qui NE requièrent l'-tête WWW-Authenticate dans logout(), donc je suis à la persistance de l'généré uniqid() dans $_SESSION pour une utilisation dans la déconnexion de l'en-tête.
    • j'ai eu tort, il a encore besoin de la www-autherticate, je suis en essais ci-après la réponse
    InformationsquelleAutor TML
  2. 6

    Réponse faisant autorité: http://tools.ietf.org/id/draft-ietf-httpbis-p7-auth-12.txt - section 6.1

    Il n'y a aucun moyen fiable.

    Quelques solutions de contournement consiste à simuler un 401 et la modification de la realm=, ou à la reconnaissance de l'AJAX auth demande à dessein les informations d'identification non valides.

    • Il est sans doute intéressant de noter que la section pertinente du présent de l'IETF Projet de document 6.1: les informations d'Authentification et les Clients Inactifs
    • le code php s'il vous plaît?
    • Vous devez lancer cette via jQuery pour ne pas afficher une boîte de dialogue de connexion. Demande distincte logout1.php qui, par exemple, envoie header("Status:401 Logout") et header("WWW-Authenticate: Invalidate, Basic realm=logout"). Éventuellement un deuxième appel AJAX avec des informations d'identification non valides pour logout2.php qui la reconnaît sans vérifier.
    • Mario, Status: 401 logout ou HTTP/1.1 401 Logout sont-ils différents?
    • pouvez-vous l'envoyer comme un travail testés réponse pour Digérer, votre commentaire est de base, ça va marcher pour digérer?
    InformationsquelleAutor mario