Wie ein HTTP-Datei-Download zu authentifizieren?
https://stackoverflow.com/questions/1548565
-
20-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianFrage
In meiner Website Ich habe ein PHP-Skript, dass startet eine Datei herunterladen, ohne den vollständigen Pfad der Datei zeigt, wird der Code wie folgt aussehen:
$path = '../examples/test.zip';
$type = "application/zip";
header("Expires: 0");
header("Pragma: no-cache");
header('Cache-Control: no-store, no-cache, must-revalidate');
header('Cache-Control: pre-check=0, post-check=0, max-age=0');
header("Content-Description: File Transfer");
header("Content-Type: " . $type);
header("Content-Length: " .(string)(filesize($path)) );
header('Content-Disposition: attachment; filename="'.basename($path).'"');
header("Content-Transfer-Encoding: binary\n");
readfile($path); // outputs the content of the file
exit();
Es gibt einen Weg, um eine HTTP-Authentifizierung hinzufügen, bevor Sie den Download starten?
Vielen Dank im Voraus!
EDIT 1: Dank André Hoffmann, ich habe das Problem durch die Verwendung einer HTTP-Basic-Authentifizierung gelöst! Aber wenn ich möchte eine HTTP-Digest-Authentifizierung wie die folgenden verwenden, wie kann ich tun? Ich habe versucht, den Code oben, nach der Zeile zu schreiben: „echo‚Ihr eingeloggt ist wie:‘$ data [‚username‘];“. ... aber ich erhalte eine Fehlermeldung, dass ich nicht den Header ändern kann zweimal!
<?php
$realm = 'Restricted area';
//user => password
$users = array('admin' => 'mypass', 'guest' => 'guest');
if (empty($_SERVER['PHP_AUTH_DIGEST'])) {
header('HTTP/1.1 401 Unauthorized');
header('WWW-Authenticate: Digest realm="'.$realm.
'",qop="auth",nonce="'.uniqid().'",opaque="'.md5($realm).'"');
die('Text to send if user hits Cancel button');
}
// analyze the PHP_AUTH_DIGEST variable
if (!($data = http_digest_parse($_SERVER['PHP_AUTH_DIGEST'])) ||
!isset($users[$data['username']]))
die('Wrong Credentials!');
// generate the valid response
$A1 = md5($data['username'] . ':' . $realm . ':' . $users[$data['username']]);
$A2 = md5($_SERVER['REQUEST_METHOD'].':'.$data['uri']);
$valid_response = md5($A1.':'.$data['nonce'].':'.$data['nc'].':'.$data['cnonce'].':'.$data['qop'].':'.$A2);
if ($data['response'] != $valid_response){
die('Wrong Credentials!');
}
// ok, valid username & password
echo 'Your are logged in as: ' . $data['username'];
// function to parse the http auth header
function http_digest_parse($txt)
{
// protect against missing data
$needed_parts = array('nonce'=>1, 'nc'=>1, 'cnonce'=>1, 'qop'=>1, 'username'=>1, 'uri'=>1, 'response'=>1);
$data = array();
$keys = implode('|', array_keys($needed_parts));
preg_match_all('@(' . $keys . ')=(?:([\'"])([^\2]+?)\2|([^\s,]+))@', $txt, $matches, PREG_SET_ORDER);
foreach ($matches as $m) {
$data[$m[1]] = $m[3] ? $m[3] : $m[4];
unset($needed_parts[$m[1]]);
}
return $needed_parts ? false : $data;
}
?>
LÖSUNG:
Dank André und Anthony, ich kann die Lösung schreiben:
<?php
$realm = 'Restricted area';
//user => password
$users = array('admin' => 'mypass', 'guest' => 'guest');
if (empty($_SERVER['PHP_AUTH_DIGEST'])) {
header('HTTP/1.1 401 Unauthorized');
header('WWW-Authenticate: Digest realm="'.$realm.
'",qop="auth",nonce="'.uniqid().'",opaque="'.md5($realm).'"');
die('Text to send if user hits Cancel button');
}
// analyze the PHP_AUTH_DIGEST variable
if (!($data = http_digest_parse($_SERVER['PHP_AUTH_DIGEST'])) ||
!isset($users[$data['username']]))
die('Wrong Credentials!');
// generate the valid response
$A1 = md5($data['username'] . ':' . $realm . ':' . $users[$data['username']]);
$A2 = md5($_SERVER['REQUEST_METHOD'].':'.$data['uri']);
$valid_response = md5($A1.':'.$data['nonce'].':'.$data['nc'].':'.$data['cnonce'].':'.$data['qop'].':'.$A2);
if ($data['response'] != $valid_response){
die('Wrong Credentials!');
}
// ok, valid username & password ... start the download
$path = '../examples/test.zip';
$type = "application/zip";
header("Expires: 0");
header("Pragma: no-cache");
header('Cache-Control: no-store, no-cache, must-revalidate');
header('Cache-Control: pre-check=0, post-check=0, max-age=0');
header("Content-Description: File Transfer");
header("Content-Type: " . $type);
header("Content-Length: " .(string)(filesize($path)) );
header('Content-Disposition: attachment; filename="'.basename($path).'"');
header("Content-Transfer-Encoding: binary\n");
readfile($path); // outputs the content of the file
exit();
// function to parse the http auth header
function http_digest_parse($txt)
{
// protect against missing data
$needed_parts = array('nonce'=>1, 'nc'=>1, 'cnonce'=>1, 'qop'=>1, 'username'=>1, 'uri'=>1, 'response'=>1);
$data = array();
$keys = implode('|', array_keys($needed_parts));
preg_match_all('@(' . $keys . ')=(?:([\'"])([^\2]+?)\2|([^\s,]+))@', $txt, $matches, PREG_SET_ORDER);
foreach ($matches as $m) {
$data[$m[1]] = $m[3] ? $m[3] : $m[4];
unset($needed_parts[$m[1]]);
}
return $needed_parts ? false : $data;
}
?>
Lösung
Sicher finden Sie unter das Handbuch hierfür.
<?php
if (!isset($_SERVER['PHP_AUTH_USER'])) {
header('WWW-Authenticate: Basic realm="My Realm"');
header('HTTP/1.0 401 Unauthorized');
echo 'Text to send if user hits Cancel button';
exit;
} else {
//check $_SERVER['PHP_AUTH_USER'] and $_SERVER['PHP_AUTH_PW']
if ($valid) {
//start download
$path = '../examples/test.zip';
$type = "application/zip";
header("Expires: 0");
header("Pragma: no-cache");
header('Cache-Control: no-store, no-cache, must-revalidate');
header('Cache-Control: pre-check=0, post-check=0, max-age=0');
header("Content-Description: File Transfer");
header("Content-Type: " . $type);
header("Content-Length: " .(string)(filesize($path)) );
header('Content-Disposition: attachment; filename="'.basename($path).'"');
header("Content-Transfer-Encoding: binary\n");
readfile($path); // outputs the content of the file
exit();
} else {
//show error
}
}
UPDATE :
A .htaccess basierte Authentifizierung ermöglicht acutally von mehr als einem Benutzer verwendet werden. Setzen Sie diese in Ihre .htaccess:
AuthType Basic
AuthName "Password Required"
AuthUserFile passwords.file
AuthGroupFile groups.file
Die Datei passwords.file enthält, die Passwörter erstellt werden können, die htpasswd-Tool, das mit Apache Camel.
Die Datei groups.file sollte ähnlich wie:
GroupName: rbowen dpitts sungo rshersey
Sie hier im Grunde nur die Benutzer auflisten, die den Zugriff auf das Verzeichnis haben.
Bitte beachten Sie auch diese Tutorial.
Andere Tipps
Versuchen Sie, den Download, nachdem das Skript echo „Sie haben sie erfolgreich in wie ... angemeldet“ zu initiieren?
Sie können keine Header gesetzt, nachdem Sie die Ausgabe etwas zu Bildschirm. Sobald Sie Echo oder drucken oder was-haben-Sie, haben Sie den Körperteil der HTTP-Antwort gestartet, was bedeutet, dass die Header-Set gewesen sein.
By the way, wenn Sie versuchen, die Header festlegen und dann geben das Bit „Sie angemeldet haben“, die in der Datei stecken wird, nicht am Bildschirm ausgegeben.
Was Sie wollen, ist zu tun haben, die Skript-Ausgabe „Sie angemeldet sind“ und die Umleitung , um das Skript, das die Download-Header sendet. Der Benutzer wird nicht, dass die zweite Seite sehen, wie der Header auf „Anhang“ gesetzt ist. Dies ist, wie die typische Seiten arbeiten „Ihr Download momentan beginnen wird.“
