Apache 2.4 + PHP-FPM 和授权标头

Posted 2023-02-24

【中文标题】Apache 2.4 + PHP-FPM 和授权标头

【英文标题】：Apache 2.4 + PHP-FPM and Authorization headers

【发布时间】：2013-06-05 19:06:36

【问题描述】：

总结： Apache 2.4 的 mod_proxy 似乎没有将 Authorization 标头传递给 php-FPM。有没有什么办法解决这一问题？

加长版： 我正在使用 Apache 2.4 和 PHP-FPM 运行服务器。我将 APC 用于操作码缓存和用户缓存。根据互联网的建议，我正在使用 Apache 2.4 的 mod_proxy_fcgi 将请求代理到 FPM，如下所示：

ProxyPassMatch ^/(.*\.php)$ fcgi://127.0.0.1:9000/foo/bar/$1

设置工作正常，除了一件事：用于监视 APC 状态的 APC 捆绑的 apc.php 不允许我登录（查看用户缓存条目所需的）。当我单击“用户缓存条目”查看用户缓存时，它要求我登录，单击登录按钮会显示通常的 HTTP 登录表单，但输入正确的登录名和密码不会成功。当使用 mod_php 而不是 mod_proxy + php-fpm 运行时，此功能可以完美运行。

经过一番谷歌搜索后，我发现其他人也有同样的问题，并发现这是因为 Apache 没有将 Authorization HTTP 标头传递给外部 FastCgi 进程。不幸的是，我只找到了 mod_fastcgi 的修复程序，看起来像这样：

FastCgiExternalServer /usr/lib/cgi-bin/php5-fcgi -host 127.0.0.1:9000 -pass-header Authorization

是否有同样适用于 mod_proxy_fcgi 的等效设置或解决方法？

【问题讨论】：

感谢“-pass-header 授权”sn-p！用 fastcgi 帮助我。

【参考方案1】：

各种 Apache 模块会去除 Authorization 标头，通常是出于“安全原因”。它们都有不同的模糊设置，您可以对其进行调整以推翻这种行为，但您需要准确确定应归咎于哪个模块。

您可以通过 env 将标头直接传递给 PHP 来解决此问题：

SetEnvIf Authorization "(.*)" HTTP_AUTHORIZATION=$1

另见Zend Server Windows - Authorization header is not passed to PHP script

在某些情况下，即使这样也不能直接工作，您还必须更改 PHP 代码以访问 $_SERVER['REDIRECT_HTTP_AUTHORIZATION'] 而不是 $_SERVER['HTTP_AUTHORIZATION']。见When setting environment variables in Apache RewriteRule directives, what causes the variable name to be prefixed with "REDIRECT_"?

【讨论】：

这可能对 PHP 5.5+ 和 Apache 2.4 用户有所帮助。将 SetEnvIf Authorization "(.*)" HTTP_AUTHORIZATION=$1 添加到 .htaccess 后，您必须使用 $_SERVER['REDIRECT_HTTP_AUTHORIZATION'] 变量而不是 $_SERVER['HTTP_AUTHENTICATION']。

你在哪里添加这个=¿？

到 apache 配置，在 .htaccess 或 /etc/httpd/conf 中

谢谢。它对我有用。

太棒了 - 刚刚拯救了我们的公司！我希望我能对此投票 100 次。

【参考方案2】：

这花了我很长时间才破解，因为它没有记录在 mod_proxy 或 mod_proxy_fcgi 下。

将以下指令添加到您的 apache conf 或 .htaccess：

CGIPassAuth on

详情请见here。

【讨论】：

请注意，这只适用于 Apache 2.4.13 或更高版本，即不适用于 15.10 的任何版本的 Ubuntu。

此解决方案更有意义，因为它更接近禁用传递身份验证标头的代理设置，即： SetHandler "proxy:fcgi://127.0.0.1:9000" CGIPassAuth 开启

谢谢你，绝对是最好的答案。请注意，这仅适用于您使用 SetHandler，而不是旧的 ProxyPassMatch 方法。

【参考方案3】：

我没有找到任何与 mod_proxy_fcgi 类似的设置，但默认情况下它只适用于我。它要求用户授权（.htaccess 像往常一样）并且 php 得到它，并且像 mod_php 或 fastcgi 和 pass-header 一样工作。不知道有没有帮助...

编辑： 它仅在使用 DirectoryIndex 时适用于 teszt.com/...这对我来说是一个障碍，但我不想降级到 apache 2.2（和 mod_fastgi），所以我迁移到 nginx（也在这台机器上）。