Autenticación HTTP cerrar sesión a través de PHP

Método que funciona muy bien en Safari. También funciona en Firefox y Opera, pero con una advertencia.

Location: http://[email protected]/

Esto le dice al navegador que abra la URL con un nuevo nombre de usuario, anulando el anterior.

La respuesta simple es que no puede cerrar sesión de manera confiable en la autenticación http.

La respuesta larga:
Http-auth (como el resto de la especificación HTTP) está destinado a ser sin estado. Así que estar "conectado " o" desconectado " no es realmente un concepto que tenga sentido. La mejor manera de verlo es preguntar, para cada solicitud HTTP (y recuerde que una carga de página suele ser múltiples solicitudes), "¿se le permite hacer lo que está solicitando?". El servidor ve cada solicitud como nueva y no relacionada con ninguna anterior peticiones.

Los navegadores han optado por recordar las credenciales que les dices en el primer 401, y volver a enviarlas sin el permiso explícito del usuario en las solicitudes posteriores. Este es un intento de dar al usuario la "conectado/desconectado" modelo que esperar, pero es puramente un parche. Es el navegador el que simula esta persistencia de estado. El servidor web es completamente inconsciente de ello.

Así que "cerrar sesión", en el contexto de http-auth es puramente una simulación proporcionado por el navegador, y por lo tanto fuera de la autoridad del servidor.

Sí, hay kludges. Pero rompen la tranquilidad (si eso es de valor para ti) y no son confiables.

Si necesita absolutamente un modelo de inicio/cierre de sesión para la autenticación de su sitio, la mejor opción es una cookie de seguimiento, con la persistencia del estado almacenada en el servidor de alguna manera (mysql, sqlite, flatfile, etc.). Esto requerirá que todas las solicitudes sean evaluadas, por ejemplo, con PHP.

Solución alternativa

Puedes hacer esto usando Javascript:

<html><head>
<script type="text/javascript">
function logout() {
    var xmlhttp;
    if (window.XMLHttpRequest) {
          xmlhttp = new XMLHttpRequest();
    }
    // code for IE
    else if (window.ActiveXObject) {
      xmlhttp=new ActiveXObject("Microsoft.XMLHTTP");
    }
    if (window.ActiveXObject) {
      // IE clear HTTP Authentication
      document.execCommand("ClearAuthenticationCache");
      window.location.href='/where/to/redirect';
    } else {
        xmlhttp.open("GET", '/path/that/will/return/200/OK', true, "logout", "logout");
        xmlhttp.send("");
        xmlhttp.onreadystatechange = function() {
            if (xmlhttp.readyState == 4) {window.location.href='/where/to/redirect';}
        }


    }


    return false;
}
</script>
</head>
<body>
<a href="#" onclick="logout();">Log out</a>
</body>
</html>

Lo que se hace arriba es:

• Para IE - solo borra la caché de autenticación y redirige a algún lugar

• Para otros navegadores - enviar un XMLHttpRequest detrás de escena con 'logout' nombre de usuario y contraseña. Necesitamos enviarlo a alguna ruta que devolverá 200 OK a esa solicitud (es decir, no debería requerir autenticación HTTP).

Sustitúyase '/where/to/redirect' por alguna ruta a la que redirigir después de cerrar sesión y reemplazar '/path/that/will/return/200/OK' con alguna ruta en su sitio que devolverá 200 OK.

Solución (no es un limpio, agradable (o incluso de trabajo! ver comentarios) solución):

Desactive sus credenciales una vez.

Puede mover su lógica de autenticación HTTP a PHP enviando los encabezados apropiados (si no ha iniciado sesión):

Header('WWW-Authenticate: Basic realm="protected area"');
Header('HTTP/1.0 401 Unauthorized');

Y analizando la entrada con:

$_SERVER['PHP_AUTH_USER'] // httpauth-user
$_SERVER['PHP_AUTH_PW']   // httpauth-password

Así que deshabilitar sus credenciales una vez debería ser trivial.

Cerrar sesión desde HTTP Basic Auth en dos pasos

Digamos que tengo un dominio de autenticación Básica HTTP llamado "Protegido por contraseña", y Bob está conectado. Para cerrar sesión hago 2 solicitudes AJAX:

1. Script de acceso /logout_step1. Agrega un usuario temporal aleatorio a .htusers y responde con su nombre de usuario y contraseña.
2. Access script /logout_step2 autenticado con el login y la contraseña del usuario temporal. El script elimina el usuario temporal y añade este encabezado en el respuesta: WWW-Authenticate: Basic realm="Password protected"

En este punto el navegador olvidó las credenciales de Bob.

Mi solución al problema es la siguiente. Usted puede encontrar la función http_digest_parse , $realm y $users en el segundo ejemplo de esta página: http://php.net/manual/en/features.http-auth.php.

session_start();

function LogOut() {
  session_destroy();
  session_unset($_SESSION['session_id']);
  session_unset($_SESSION['logged']);

  header("Location: /", TRUE, 301);   
}

function Login(){

  global $realm;

  if (empty($_SESSION['session_id'])) {
    session_regenerate_id();
    $_SESSION['session_id'] = session_id();
  }

  if (!IsAuthenticated()) {  
    header('HTTP/1.1 401 Unauthorized');
    header('WWW-Authenticate: Digest realm="'.$realm.
   '",qop="auth",nonce="'.$_SESSION['session_id'].'",opaque="'.md5($realm).'"');
    $_SESSION['logged'] = False;
    die('Access denied.');
  }
  $_SESSION['logged'] = True;  
}

function IsAuthenticated(){
  global $realm;
  global $users;


  if  (empty($_SERVER['PHP_AUTH_DIGEST']))
      return False;

  // check PHP_AUTH_DIGEST
  if (!($data = http_digest_parse($_SERVER['PHP_AUTH_DIGEST'])) ||
     !isset($users[$data['username']]))
     return False;// invalid username


  $A1 = md5($data['username'] . ':' . $realm . ':' . $users[$data['username']]);
  $A2 = md5($_SERVER['REQUEST_METHOD'].':'.$data['uri']);

  // Give session id instead of data['nonce']
  $valid_response =   md5($A1.':'.$_SESSION['session_id'].':'.$data['nc'].':'.$data['cnonce'].':'.$data['qop'].':'.$A2);

  if ($data['response'] != $valid_response)
    return False;

  return True;
}

Normalmente, una vez que un navegador le ha pedido al usuario credenciales y las ha suministrado a un sitio web en particular, continuará haciéndolo sin más solicitudes. A diferencia de las diversas formas en que puede borrar las cookies en el lado del cliente, no conozco una forma similar de pedirle al navegador que olvide sus credenciales de autenticación suministradas.

Trac - por defecto - también usa autenticación HTTP. Cerrar sesión no funciona y no se puede arreglar:

• Este es un problema con el esquema de autenticación HTTP en sí, y no hay nada que podamos hacer en Trac para solucionarlo correctamente.
• Actualmente no hay una solución (JavaScript u otra) que funcione con todos los navegadores principales.

Desde: http://trac.edgewall.org/ticket/791#comment:103

Parece que no hay respuesta de trabajo a la pregunta, ese problema se ha reportado hace siete años y tiene perfecto sentido: HTTP es apátrida. Una solicitud se realiza con credenciales de autenticación o no. Pero eso es cuestión del cliente que envía la solicitud, no del servidor que la recibe. El servidor solo puede decir si un URI de solicitud necesita autorización o no.

Necesitaba reiniciar .autorización htaccess así que usé esto:

<?php
if (!isset($_SERVER['PHP_AUTH_USER'])) {
    header('WWW-Authenticate: Basic realm="My Realm"');
    header('HTTP/1.0 401 Unauthorized');
    echo 'Text to send if user hits Cancel button';
    exit;
}
?>

Lo encontré aquí : http://php.net/manual/en/features.http-auth.php

Vaya figura.

Una serie de soluciones residen en esa página e incluso señala en la parte inferior: Lynx, no borra la autenticación como otros navegadores;)

Lo probé en mis navegadores instalados y una vez cerrado, cada navegador parece que constantemente requiere reauth en la reentrada.

Esta podría no ser la solución que se buscó, pero lo resolví así. tengo 2 scripts para el proceso de cierre de sesión.

Cerrar sesión.php

<?php
header("Location: http://[email protected]/log.php");
?>

Log.php

<?php
header("location: https://google.com");
?>

De esta manera no recibo una advertencia y mi sesión se termina

AFAIK, no hay una forma clara de implementar una función "logout" cuando se utiliza la autenticación htaccess (es decir, basada en HTTP).

Esto se debe a que dicha autenticación utiliza el código de error HTTP '401' para indicar al navegador que se requieren credenciales, momento en el que el navegador solicita al usuario los detalles. A partir de entonces, hasta que el navegador se cierre, siempre enviará las credenciales sin necesidad de solicitar más información.

La mejor solución que he encontrado hasta ahora es (es una especie de pseudo-código, el $isLoggedIn es pseudo variable para http auth):

En el momento de "cerrar sesión" simplemente almacene información en la sesión diciendo que el usuario realmente ha cerrado sesión.

function logout()
{
  //$isLoggedIn = false; //This does not work (point of this question)
  $_SESSION['logout'] = true;
}

En el lugar donde compruebo la autenticación expando la condición:

function isLoggedIn()
{
  return $isLoggedIn && !$_SESSION['logout'];
}

La sesión está algo vinculada al estado de la autenticación http, por lo que el usuario permanece desconectado mientras mantenga abierto el navegador y la autenticación http persiste en el navegador.

Tal vez me estoy perdiendo el punto.

La forma más confiable que he encontrado para finalizar la autenticación HTTP es cerrar el navegador y todas las ventanas del navegador. Puede cerrar una ventana del navegador usando Javascript, pero no creo que pueda cerrar todas las ventanas del navegador.

Mientras que los otros tienen razón al decir que es imposible cerrar la sesión de la autenticación http básica, hay formas de implementar la autenticación que se comportan de manera similar. Un appeoach obvio es usar auth_memcookie . Si realmente desea implementar la autenticación HTTP básica (es decir, usar los diálogos del navegador para iniciar sesión en un formulario HTTP) usando esto, simplemente establezca la autenticación en un separado .directorio protegido htaccess que contiene un script PHP que redirige de vuelta a donde llegó el usuario después de crear la sesión memcache.

Hay muchas respuestas complejas aquí. En mi caso particular encontré una solución limpia y simple para el cierre de sesión. Todavía tengo que probar en Edge. En mi página en la que he iniciado sesión, he colocado un enlace de cierre de sesión similar a este:

<a href="https://MyDomainHere.net/logout.html">logout</a>

Y en la cabeza de ese cierre de sesión.página html (que también está protegida por el .htaccess) Tengo una actualización de página similar a esta:

<meta http-equiv="Refresh" content="0; url=https://logout:[email protected]/" />

Donde dejaría las palabras "logout" en su lugar para borrar el nombre de usuario y la contraseña almacenados en caché para el sitio.

Admitiré que si se necesitaran varias páginas para poder iniciar sesión directamente desde el principio, cada uno de esos puntos de entrada necesitaría su propio cierre de sesión correspondiente.página html. De lo contrario, podría centralizar el cierre de sesión introduciendo un paso de gatekeeper adicional en el proceso antes de la solicitud de inicio de sesión real, requiriendo la entrada de una frase para llegar a un destino de inicio de sesión.

La única manera efectiva que he encontrado para borrar las credenciales PHP_AUTH_DIGEST o PHP_AUTH_USER Y PHP_AUTH_PW es llamar al encabezado HTTP/1.1 401 Unauthorized.

function clear_admin_access(){
    header('HTTP/1.1 401 Unauthorized');
    die('Admin access turned off');
}