Come per l'autenticazione HTTP di un file di download?
https://stackoverflow.com/questions/1548565
-
20-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianDomanda
Nel mio sito ho uno script PHP che lancia un file di download senza mostrare il percorso completo del file, il codice simile al seguente:
$path = '../examples/test.zip';
$type = "application/zip";
header("Expires: 0");
header("Pragma: no-cache");
header('Cache-Control: no-store, no-cache, must-revalidate');
header('Cache-Control: pre-check=0, post-check=0, max-age=0');
header("Content-Description: File Transfer");
header("Content-Type: " . $type);
header("Content-Length: " .(string)(filesize($path)) );
header('Content-Disposition: attachment; filename="'.basename($path).'"');
header("Content-Transfer-Encoding: binary\n");
readfile($path); // outputs the content of the file
exit();
C'è un modo per aggiungere l'autenticazione HTTP prima di lanciare il download?
Grazie in anticipo!
Modifica 1: Grazie ad André Hoffmann, ho risolto il problema utilizzando un HTTP l'autenticazione di base! Ma se mi piacerebbe utilizzare l'autenticazione Digest un HTTP come il seguente, come posso fare? Ho provato a scrivere il codice di cui sopra, dopo la riga: "echo 'Il tuo è connessi come:' $ data [ 'username'];". ... ma ottengo un errore che dice che non posso modificare l'intestazione due volte!
<?php
$realm = 'Restricted area';
//user => password
$users = array('admin' => 'mypass', 'guest' => 'guest');
if (empty($_SERVER['PHP_AUTH_DIGEST'])) {
header('HTTP/1.1 401 Unauthorized');
header('WWW-Authenticate: Digest realm="'.$realm.
'",qop="auth",nonce="'.uniqid().'",opaque="'.md5($realm).'"');
die('Text to send if user hits Cancel button');
}
// analyze the PHP_AUTH_DIGEST variable
if (!($data = http_digest_parse($_SERVER['PHP_AUTH_DIGEST'])) ||
!isset($users[$data['username']]))
die('Wrong Credentials!');
// generate the valid response
$A1 = md5($data['username'] . ':' . $realm . ':' . $users[$data['username']]);
$A2 = md5($_SERVER['REQUEST_METHOD'].':'.$data['uri']);
$valid_response = md5($A1.':'.$data['nonce'].':'.$data['nc'].':'.$data['cnonce'].':'.$data['qop'].':'.$A2);
if ($data['response'] != $valid_response){
die('Wrong Credentials!');
}
// ok, valid username & password
echo 'Your are logged in as: ' . $data['username'];
// function to parse the http auth header
function http_digest_parse($txt)
{
// protect against missing data
$needed_parts = array('nonce'=>1, 'nc'=>1, 'cnonce'=>1, 'qop'=>1, 'username'=>1, 'uri'=>1, 'response'=>1);
$data = array();
$keys = implode('|', array_keys($needed_parts));
preg_match_all('@(' . $keys . ')=(?:([\'"])([^\2]+?)\2|([^\s,]+))@', $txt, $matches, PREG_SET_ORDER);
foreach ($matches as $m) {
$data[$m[1]] = $m[3] ? $m[3] : $m[4];
unset($needed_parts[$m[1]]);
}
return $needed_parts ? false : $data;
}
?>
SOLUZIONE:
Grazie ad André e Anthony, posso scrivere la soluzione:
<?php
$realm = 'Restricted area';
//user => password
$users = array('admin' => 'mypass', 'guest' => 'guest');
if (empty($_SERVER['PHP_AUTH_DIGEST'])) {
header('HTTP/1.1 401 Unauthorized');
header('WWW-Authenticate: Digest realm="'.$realm.
'",qop="auth",nonce="'.uniqid().'",opaque="'.md5($realm).'"');
die('Text to send if user hits Cancel button');
}
// analyze the PHP_AUTH_DIGEST variable
if (!($data = http_digest_parse($_SERVER['PHP_AUTH_DIGEST'])) ||
!isset($users[$data['username']]))
die('Wrong Credentials!');
// generate the valid response
$A1 = md5($data['username'] . ':' . $realm . ':' . $users[$data['username']]);
$A2 = md5($_SERVER['REQUEST_METHOD'].':'.$data['uri']);
$valid_response = md5($A1.':'.$data['nonce'].':'.$data['nc'].':'.$data['cnonce'].':'.$data['qop'].':'.$A2);
if ($data['response'] != $valid_response){
die('Wrong Credentials!');
}
// ok, valid username & password ... start the download
$path = '../examples/test.zip';
$type = "application/zip";
header("Expires: 0");
header("Pragma: no-cache");
header('Cache-Control: no-store, no-cache, must-revalidate');
header('Cache-Control: pre-check=0, post-check=0, max-age=0');
header("Content-Description: File Transfer");
header("Content-Type: " . $type);
header("Content-Length: " .(string)(filesize($path)) );
header('Content-Disposition: attachment; filename="'.basename($path).'"');
header("Content-Transfer-Encoding: binary\n");
readfile($path); // outputs the content of the file
exit();
// function to parse the http auth header
function http_digest_parse($txt)
{
// protect against missing data
$needed_parts = array('nonce'=>1, 'nc'=>1, 'cnonce'=>1, 'qop'=>1, 'username'=>1, 'uri'=>1, 'response'=>1);
$data = array();
$keys = implode('|', array_keys($needed_parts));
preg_match_all('@(' . $keys . ')=(?:([\'"])([^\2]+?)\2|([^\s,]+))@', $txt, $matches, PREG_SET_ORDER);
foreach ($matches as $m) {
$data[$m[1]] = $m[3] ? $m[3] : $m[4];
unset($needed_parts[$m[1]]);
}
return $needed_parts ? false : $data;
}
?>
Soluzione
la manuale per questo.
<?php
if (!isset($_SERVER['PHP_AUTH_USER'])) {
header('WWW-Authenticate: Basic realm="My Realm"');
header('HTTP/1.0 401 Unauthorized');
echo 'Text to send if user hits Cancel button';
exit;
} else {
//check $_SERVER['PHP_AUTH_USER'] and $_SERVER['PHP_AUTH_PW']
if ($valid) {
//start download
$path = '../examples/test.zip';
$type = "application/zip";
header("Expires: 0");
header("Pragma: no-cache");
header('Cache-Control: no-store, no-cache, must-revalidate');
header('Cache-Control: pre-check=0, post-check=0, max-age=0');
header("Content-Description: File Transfer");
header("Content-Type: " . $type);
header("Content-Length: " .(string)(filesize($path)) );
header('Content-Disposition: attachment; filename="'.basename($path).'"');
header("Content-Transfer-Encoding: binary\n");
readfile($path); // outputs the content of the file
exit();
} else {
//show error
}
}
Aggiorna :
Un autenticazione basata Htaccess permette acutally per essere utilizzati da più di un utente. Mettere questo nel vostro .htaccess:
AuthType Basic
AuthName "Password Required"
AuthUserFile passwords.file
AuthGroupFile groups.file
Il file passwords.file che contiene le password possono essere creati utilizzando lo strumento htpasswd che è venuto con apache.
Il file groups.file dovrebbe piacere simile a questo:
GroupName: rbowen dpitts sungo rshersey
Qui è fondamentalmente solo elencare gli utenti che dovrebbero avere accesso alla directory.
Si veda anche questo tutorial.
Altri suggerimenti
Si sta tentando di avviare il download dopo aver echi script "Hai effettuato l'accesso come ..."?
Non è possibile impostare le intestazioni dopo avere uscita nulla a schermo. Non appena si eco o di stampa o quello che-hanno-te, che hai iniziato la parte del corpo della risposta HTTP, il che significa che sono state impostate le intestazioni.
A proposito, se si tenta impostare le intestazioni e quindi dare la "aver effettuato l'accesso a" bit, che rimanere bloccati nel file, senza output a schermo.
Che cosa si vuole fare è avere l'output dello script "si è connessi" e il redirect per lo script che invia le intestazioni di download. L'utente non vedrà che seconda pagina, come intestazione è impostato su "Attachment". Questo è come il tipico "Il download inizierà momentaneamente" pagine funzionano.
