最近查看公司的CodeBase,看到有这样的一行:
if (!isset($_SERVER['PHP_AUTH_USER']) || !isset($_SERVER['PHP_AUTH_PW']))
其中的 PHP_AUTH_USER 和 PHP_AUTH_PW 不知道是什么东西,网上查了一下,发现挺有意思的,现在记录总结一下。
要获取 $_SERVER['PHP_AUTH_USER'] 和 $_SERVER['PHP_AUTH_PW'] ,首先需要使用 PHP 的 header() 函数设置两个响应头,如下:
Header('WWW-Authenticate: Basic realm="USER LOGIN"');
Header('HTTP/1.0 401 Unauthorized');
设置了这两个响应头,网页在载入前就会出现一个登录框,要求输入用户名和密码。
为了获取从这个登录框中传来的用户名和密码,需要用到 PHP 提供的两个特殊变量 $_SERVER['PHP_AUTH_USER'] 和 $_SERVER['PHP_AUTH_PW'] 。
通过这两个变量拿到用户输入的用户名和密码,就可以做进一步的操作。比如下面这个小小的Demo:
<?php
if ( !isset($_SERVER['PHP_AUTH_USER']) || !isset($_SERVER['PHP_AUTH_PW']) ) {
header('WWW-Authenticate: Basic realm="USER LOGIN"');
header('HTTP/1.0 401 Unauthorized');
echo 'Please input username and password.';
exit;
} else {
echo "<p>Hello {$_SERVER['PHP_AUTH_USER']}.</p>";
echo "<p>You entered {$_SERVER['PHP_AUTH_PW']} as your password.</p>";
}
用这种方式实现的登录验证,目前发现如下缺点:
- 关闭浏览器窗口,登录就会断开,重新打开就要重新登录
- 无法在网页中实现点击一个按钮来退出登录
- 跟
cookie和session的那种方式对比,这种方式只能获取到用户的账号和密码,无法在服务端保存用户相关的其他数据
如果发现文章中有不对的地方,欢迎在评论区指出。