PHP摘要验证，注销

Question

有没有一种方法可以注销在php中完成的摘要验证。我试过未设置（$ _ SERVER [“PHP_AUTH_DIGEST”]）; 但它不会要求重新登录。 我知道如果我关闭浏览器，那么它会工作，这里是我的功能。

function login(){ 
     $realm = "Restricted area"; 
     $users = array("jamesm"=>""); 
     if (empty($_SERVER["PHP_AUTH_DIGEST"])) { 
      header("HTTP/1.1 401 Unauthorized"); 
      header("WWW-Authenticate: Digest realm=\"{$realm}\",qop=\"auth\",nonce=\"".uniqid()."\",opaque=\"".md5($realm)."\""); 
      return false; 
     } 
     if (!($data = http_digest_parse($_SERVER["PHP_AUTH_DIGEST"])) || !isset($users[$data["username"]])) 
      return false; 
     $A1 = md5($data["username"] . ":{$realm}:{$users[$data["username"]]}"); 
     $A2 = md5($_SERVER["REQUEST_METHOD"].":{$data["uri"]}"); 
     $valid_response = md5("{$A1}:{$data["nonce"]}:{$data["nc"]}:{$data["cnonce"]}:{$data["qop"]}:{$A2}"); 
     if ($data["response"] != $valid_response) 
      return false; 
     return true; 
    } 
    function logout(){ 
     unset($_SERVER["PHP_AUTH_DIGEST"]); 
     return true; 
    } 

我还需要添加到注销功能来完成此功能。

如果我改变它的领域，但我不希望它被改变。

Answer 1

取消设置$ _SERVER ['PHP_AUTH_DIGEST']将不起作用。问题是，对于你设定的任务来说，并没有真正的“好”答案。

HTTP规范在技术上并没有允许它，但实际上，如果你再给它们发送401，那么大多数浏览器将会有效地“注销用户”。per php.net/http-auth：

Netscape Navigator和Internet Explorer都会在收到服务器响应401时清除本地浏览器窗口的身份验证缓存。这可以有效地“注销”用户，迫使他们重新输入用户名和密码。有些人使用它来“超时”登录，或提供“注销”按钮。

从您的代码，最简单的方法大概是这样的：

function logout(){ 
    header('HTTP/1.1 401 Unauthorized'); 
    return true; 
} 

但同样，这不是实际的HTTP规范批准的东西。

Answer 2

权威回答：http://tools.ietf.org/id/draft-ietf-httpbis-p7-auth-12.txt - 第6.1节
没有可靠的办法。

一些解决方法包括伪造401和更改realm =，或者用有目的无效的凭据确认AJAX身份验证请求。