CakePHP 2.3.2 BasicAuthentication 不起作用

Posted

技术标签:

【中文标题】CakePHP 2.3.2 BasicAuthentication 不起作用【英文标题】:CakePHP 2.3.2 BasicAuthentication not working 【发布时间】:2013-04-08 23:44:09 【问题描述】:

我试用了位于http://book.cakephp.org/2.0/en/tutorials-and-examples/simple-acl-controlled-application/simple-acl-controlled-application.html 的“简单 Acl 控制的应用程序 1&2”教程。

完成此操作后,我尝试激活 BasicAuth 而不是 FormAuth。

我在我的 UsersController 中重新实现了 login() 函数,如下所示:

public function login() 
if ($this->Auth->login()) 
        return $this->redirect($this->Auth->redirect());
     else 
        $this->Session->setFlash('Not able to login');
    

并将我的 AppController 中的 $components 变量更改为以下内容:

public $components = array(
    'Acl',
    'Auth' => array(
        'authorize' => array(
            'Actions' => array('actionPath' => 'controllers')
        ),
        'authenticate' => array('Basic')
    ),
    'DebugKit.Toolbar',
    'Session'
);

BasicAuth“弹出窗口”按预期显示,但当我尝试登录时,它会在无限循环中重新出现。除了包含 DebugKit 之外,我在完成教程后没有更改任何内容。

我错过了什么?我希望有人可以帮助我,因为我想用 CakePHP 编写我的下一个项目!

更新

应用控制器

public function beforeFilter() 
    //Configure AuthComponent
    $this->Auth->allow('display');
    $this->Auth->loginAction = array('controller' => 'users', 'action' => 'login');
    $this->Auth->logoutRedirect = array('controller' => 'users', 'action' => 'login');
    $this->Auth->loginRedirect = array('controller' => 'posts', 'action' => 'add');

用户控制器

public function beforeFilter() 
    parent::beforeFilter();

我正在尝试访问例如/users/ 使用教程中描述的 FormAuth 就像一个魅力,所以不会有权限问题。登录数据对于测试来说非常简单(管理员:管理员),所以应该也没有问题。

更新 2

在我的 Apache 日志中,我得到以下信息,所以它说我没有被授权:

IP - - [16/Apr/2013:18:08:37 +0200] "GET /users/login HTTP/1.0" 401 5179 "-" "Mozilla/5.0 (Windows NT 6.2; Win64; x64; rv :23.0) 壁虎/20130414 火狐/23.0"

更新 3

似乎出于某种原因,用户和密码要么未发送,要么未保存在 PHP 中。如果我将/lif/Cake/Controller/Auth/BasicAuthenticate 重写为以下内容,它可以工作!

public function authenticate(CakeRequest $request, CakeResponse $response) 
    $_SERVER['PHP_AUTH_USER'] = $_SERVER['PHP_AUTH_PW'] = "admin";
    $result = $this->getUser($request);

    if (empty($result)) 
        $response->header($this->loginHeaders());
        $response->statusCode(401);
        $response->send();
        return false;
    
    return $result;

更新 4

不知道这是否有帮助,但服务器正在运行 Plesk 11,最新更新,没有特殊修改。

更新 5

好的,“thaJeztah”的答案很有用,但现在我遇到了更多可以细分的问题。

    将模式从 fcgid 更改为 apache 模块

    1.1。结果可以登录,但注销不起作用!重定向后,会话似乎被清除,但我仍然可以访问每个受限页面,直到我清除浏览器中的“活动登录”,因为它在 Firefox 中被调用。

var_dump($this->Session->read('Auth.User'));

NULL

当我访问 /users/login 时,我会自动登录并重定向,而无需输入登录凭据。

print "<pre>";
print_r($this->Session->read('Auth.User'));
print "</pre>";

Array
(
    [id] => 1
    [username] => admin
    [group_id] => 1
    [created] => 2013-04-12 12:54:26
    [modified] => 2013-04-16 14:27:24
    [is_active] => 1
    [Group] => Array
        (
            [id] => 1
            [name] => Admin
            [created] => 2013-04-12 12:46:42
            [modified] => 2013-04-12 12:46:42
        )

)

    使用基于 .htaccess 的解决方案也可以,它甚至看起来好像这是唯一需要的更改(我删除了 list() 代码,因为我从未进入它并且它也可以正常工作)。

    2.1。与上述相同的问题,无法真正注销。

更新 6

可能是我最后一次或最后一次更新。 :-) 现在我正在尝试通过将用户登录为我创建的只能访问 /users/login/pages/home 的访客用户来进行“假注销”:http://guest:guest@my.domain/users/login

访问/users/logout 也可能有效,因为我在那里使用了这段代码:

public function logout() 
    $user = $this->User->find('first', array('conditions' => array('username' => 'guest')));
    $this->Auth->login($user['User']['id']);

我简直不相信,这将是一致的,因为我相信会话数据将在一段时间内被删除,并且浏览器仍然获得有效的管理员登录并使用这些进行身份验证 - 我是对的吗?

之后,我可以使用http://admin:admin@my.domain/users/login 再次登录其他用户。不完美,但至少适用于 Firefox。

所以基本上最后一个问题:关于如何在访问/users/login 时强制使用 BasicAuth 有什么建议吗?这样我就可以随时使用任何客户端轻松切换用户。

更新 7

我找到了一种方法来完全按照我接受的答案中的想法做到这一点。我希望我抓住了所有的边缘情况,如果没有,请随时纠正我!

(Ps:当使用 ACL 和/或基本身份验证时,至少 AppController 中的 isAuthorized() 似乎被忽略(它已被识别,但没有效果 - 当我在不更改 $components 的情况下删除该方法时,出现错误) 这导致我在不使用 isAuthorized() 的情况下实现了这一点。)

AppController.php

public function beforeFilter($redirectlogin = true) 
    //Configure AuthComponent
    $this->Auth->allow('display', '/users/login');
    $this->Auth->loginAction = array('controller' => 'users', 'action' => 'login');
    $this->Auth->logoutRedirect = array('controller' => 'pages', 'action' => 'home');
    $this->Auth->loginRedirect = array('controller' => 'pages', 'action' => 'home');
    $this->Auth->unauthorizedRedirect = array('controller' => 'HTTPCODE', 'action' => 'c403');

    if($redirectlogin && $this->Session->read('Auth.needs_reauthenticate')) 
        if(!($this->request->params['controller'] == $this->Auth->loginRedirect['controller'] && $this->request->params['pass'][0] == $this->Auth->loginRedirect['action'])) 
            $this->redirect('/users/login');
        
    
 

UsersController.php

public function beforeFilter() 
    parent::beforeFilter(false);


    public function login() 
        $this->autoRender = false;
        $this->Session->write('Auth.needs_reauthenticate', true);
        if(!$this->Session->check('Auth.count')) 
            $count = 1;
         else 
            $count = $this->Session->read('Auth.count') + 1;
        
        $this->Session->write('Auth.count', $count);

        if($this->Session->read('Auth.needs_reauthenticate')) 
            if((isset($_SERVER['HTTP_AUTHORIZATION']) && $this->Session->read('Auth.count') == 1) || (!isset($_SERVER['HTTP_AUTHORIZATION']) || empty($_SERVER['HTTP_AUTHORIZATION']) || !$this->Session->check('Auth.sent_header_step') || $this->Session->read('Auth.sent_header_step') < 1)) 
                unset($_SERVER['HTTP_AUTHORIZATION']);
                $this->Session->write('Auth.redirectTo', $this->Auth->redirect());

                $this->response->header(sprintf('WWW-Authenticate: Basic realm="%s"', env('SERVER_NAME')));
                $this->response->statusCode(401);
                $this->response->send();

                $this->Session->write('Auth.sent_header_step', 1);
                   

            if(isset($_SERVER['HTTP_AUTHORIZATION'])) 
                $this->Session->write('Auth.sent_header_step', 0);
                $base64string = base64_decode(substr($_SERVER['HTTP_AUTHORIZATION'], 6));
                if(!(strlen($base64string) > 1 && substr($base64string, -1, 1) != ":")) 
                    $_SERVER['PHP_AUTH_USER'] = "";
                    $_SERVER['PHP_AUTH_PW'] = "";
                

                $data = true;
            

            $this->Auth->logout();

            if(isset($data) && $this->Session->read('Auth.count') > 1) 
                if($this->Auth->login()) 
                    $this->Session->write('Auth.needs_reauthenticate', false);
                    if($this->Session->check('Auth.redirectTo')) 
                        $redirectTo = $this->Session->read('Auth.redirectTo');
                        $this->Session->delete('Auth.redirectTo');
                        $this->Session->delete('Auth.count');

                        return $this->redirect($redirectTo);
                     else 
                        return $this->redirect($this->Auth->redirect());
                    
                 else 
                    $this->response->statusCode(403);
                    // my 403 message
                
             else 

                if(!isset($_SERVER['HTTP_AUTHORIZATION']) && $this->Session->read('Auth.count') > 1 && isset($_SERVER['PHP_AUTH_USER']) && isset($_SERVER['PHP_AUTH_PW']) && trim($_SERVER['PHP_AUTH_USER']) != "" && trim($_SERVER['PHP_AUTH_PW']) != "") 
                    if($this->Auth->login()) 
                        $this->Session->write('Auth.needs_reauthenticate', false);
                        if($this->Session->check('Auth.redirectTo')) 
                            $redirectTo = $this->Session->read('Auth.redirectTo');
                            $this->Session->delete('Auth.redirectTo');
                            $this->Session->delete('Auth.count');

                            unset($_SERVER['HTTP_AUTHORIZATION']);
                            unset($_SERVER['PHP_AUTH_USER']);
                            unset($_SERVER['PHP_AUTH_PW']);
                            return $this->redirect($redirectTo);
                         else 
                            return $this->redirect($this->Auth->redirect());
                        
                     else 
                        $this->response->statusCode(403);
                        // my 403 message
                    
                

                $this->response->statusCode(403);
                // my 403 message
            
        
    

提前致谢

阿德里安

【问题讨论】:

你是否在 beforeFilter 中添加了函数(就像在教程中一样)?特别是$this-&gt;Auth-&gt;loginRedirect。您似乎已登录,但重定向无法正常工作。如果您有该代码,您可以用它更新您的问题吗?并检查登录的用户是否真的有权访问该操作? @nuns:用请求的信息更新了我的帖子 您使用的是 cakephp 2.3,尝试在登录函数中将 return $this-&gt;redirect($this-&gt;Auth-&gt;redirect()); 更改为 return $this-&gt;redirect($this-&gt;Auth-&gt;redirectUrl());(并将 BasicAuthenticate 恢复为原始状态)。如果这不起作用,因为覆盖对您有用,我建议扩展 BasicAuthenticate 类并更改 getUser() 函数。我见过有类似问题的couple of post,这似乎是解决方案。 再想一想......如果你必须手动设置环境变量PHP_AUTH_USERPHP_AUTH_PW,这意味着它们之前没有设置(duh)。你在哪里设置它们?你调用 http rquest 的代码是什么? @nuns 根据 thaJeztah 的回答更新了我的帖子,其中包含了这个想法(更新 5) 【参考方案1】:

将 PHP 作为(快速)CGI 运行时使用基本身份验证

您的网站可能配置为将 PHP 作为(快速)CGI 运行,在这种情况下 PHP_AUTH_USERPHP_AUTH_PWD 键不存在于 $_SERVER 变量中。 BasicAuthenticate AuthComponent 依赖于这些键。

要么更改 Plesk 中的域/webhosting 设置以将 php 作为此网站/域的“apache 模块”运行,要么扩展 BasicAuthenticate 组件以通过其他方式获取这些变量。

关于这个主题的更多信息可以在这个问题中找到:

PHP_AUTH_USER not set?

对于 Symfony 框架,似乎有人编写了一个解决方法,在这种情况下也可能有用;

https://github.com/symfony/symfony/issues/1813

更新:使用基本身份验证时注销

使用basic authentication 时注销是不可能的。基本身份验证是一种“无状态”身份验证机制,这基本上意味着浏览器随每个请求发送用户凭据。换一种说法; 服务器不保持“状态”,浏览器会。使用基本身份验证,您需要浏览器发送用户凭据,并且只要浏览器发送有效凭据,您就允许浏览器访问受保护的页面。

退出的唯一方法是关闭浏览器,或者告诉浏览器关闭活动会话/登录

在此处阅读更多信息:

http://en.wikipedia.org/wiki/Basic_access_authentication

http basic authentication "log out"

注意事项

Base Authentication 不是一种安全的身份验证机制; 每个请求都会将用户名和密码发送到服务器。发送的密码未加密(仅 base64 编码以防止特殊字符出现问题)。

虽然表单身份验证也会发送未加密的密码,但它(更安全一点)因为它只会在登录时发送用户名/密码。后续请求只会发送 Session-id,它可以设置为过期和仅限于特定的 IP 和/或浏览器类型。

在所有情况下,通过 SSL 保护连接显然很重要。

在登录页面强制重新认证

这只是“大声思考”,未经测试且高度实验性:)

试试这个;

    如果没有会话处于活动状态,则按正常方式进行。在基本身份验证中,无法区分“已登录”用户和“新用户”——它是无状态的

    如果会话处于活动状态,则用户显然正在进行活动会话。 不要破坏会话,而是改变规则;

    如果发送的凭据与会话中的用户名相同 用户(或者,更好:$this-&gt;Auth-&gt;user('username');?,那么 invalidate 会话(不是 destroy) 并通过发送登录标头强制用户重新进行身份验证; 您可以从 BasicAuthenticate 行为中复制标头;在此处查看源代码BasicAuthenticate::authenticate() 关于“复制标题”;也许扩展 BasicAuthenticate 是一种更清洁的方法;处理自定义版本中的所有自定义代码。

此外,检查会话在AppController::isAuthorized() 中是否仍然“有效”(参见Using ControllerAuthorize)

类似这样的东西(样机代码):

登录页面/操作:

if ("usercredentials sent by browser" === "current logged in user in session") 
    // Mark session as 'needs-to-reauthenticate'
    $this->Session->write('Auth.needs_reauthenticate', true);

    // Need to find a clean approach to get the BasicAuth loginHeaders()
    // *including* the right settings (realm)
    $this->response->header(/*BasicAuth::loginHeaders()*/);

    // Access denied status
    $this->response->statusCode(401);
    return $this->response->send();

AppController::isAuthorized()

if ($this->Session->read('Auth.needs_reauthenticate')) 
    return false;
 else 
    // Normal 'isAuthorized()' checks here

注意: 一旦浏览器在活动会话期间访问了“登录”页面,用户要么必须使用不同凭据登录,要么关闭浏览器以再次登录.

如果在关闭并重新打开浏览器后会话 cookie 仍然存在,这可能会出现问题。尝试强制 session-cookie 成为 "real" session-cookie,并通过将 Session.cookieTimeout 设置为 0 将其在浏览器关闭时删除(请参阅 Session Configuration

【讨论】:

@boindil 在我的回答中添加了一些信息来解释“基本身份验证”机制 非常感谢,这对我帮助很大!我需要这个,因为我正在编写一个 REST API 并试图使其以某种方式安全和灵活。但是我需要使用 BasicAuth,因为这是一个指导原则(API 本身是重写的,并且有多个客户端不能轻易更改)。是的,当然会使用 SSL。更新了我的帖子(更新 6)。 @boindil 我做了一些思考,将其添加到我的答案中。未经测试,只是大声思考:D 再次感谢您的所有帮助,我将适用于我的解决方案编辑到更新 7 中。 很高兴你能成功!为了改进您的代码,我建议将一些逻辑移出您的控制器并(例如)移到自定义身份验证对象(请参阅Creating Custom Authentication objects)。但是,这不是这个问题的范围。再次,太好了,你成功了!

以上是关于CakePHP 2.3.2 BasicAuthentication 不起作用的主要内容,如果未能解决你的问题,请参考以下文章

php [cakephp:Paginator示例] CakePHP上PaginatorComponent的示例代码。 #cakephp

php [cakephp:mysqldump] mysqldumpのcakephp実装サンプル。#php #cakephp #mysql

ORM如何在CakePHP3中运行

使用 Cakephp-jwt-auth [CakePHP 3] 过期后颁发新令牌

从 cakephp 3.x 迁移到 cakephp 4.x [关闭]

CakePHP 2.2.1 - 在表单上显示 CakePHP 错误 - 自定义验证