第 16 章 PHP による HTTP 認証

PHPによるHTTP認証のフックは、Apacheモジュールとして実行した時のみ有効で、CGI版では利用できません。Apache モジュールPHPスクリプトにおいて、header() 関数を使用して "Authentication Required" メッセージをクライアントブラウザに送ることが可能です。これにより、クライアントブラウザにユーザー名とパスワードを入力するウインドウがポップアップ表示されます。一度、ユーザーがユーザー名とパスワードを入力すると、PHP スクリプトを含むその URL は、次回以降、定義済みの変数 PHP_AUTH_USER, PHP_AUTH_PW, and PHP_AUTH_TYPEにそれぞれユーザー名、パスワード、認証型を入力してコールされます。定義済みの変数は、配列 $_SERVER および $HTTP_SERVER_VARS　でアクセス可能です。 "Basic" 認証のみがサポートされています。詳細は、 header()を参照下さい。

PHP バージョンに関する注意 $_SERVERのようなオートグローバルは、 PHPバージョン 4.1.0 で利用可能です。 $HTTP_SERVER_VARSは、PHP 3以降で利用可能です。

ページ上でクライアント認証を強制するスクリプトの例を以下に示します。
例 16-1HTTP 認証の例
<?php if (!isset($_SERVER['PHP_AUTH_USER'])) { header("WWW-Authenticate: Basic realm=\"My Realm\""); header("HTTP/1.0 401 Unauthorized"); echo "ユーザーがキャンセルボタンを押した時に送信されるテキスト\n"; exit; } else { echo "<p>こんにちは、{$_SERVER['PHP_AUTH_USER']} さん。</p>"; echo "<p>あなたは、{$_SERVER['PHP_AUTH_PW']} をパスワードとして入力しました。</p>"; } ?>

互換製に関する注意 HTTPヘッダ行をコーディングする際には注意を要します。全てのクライアントへの互換性を最大限に保証するために、キーワード "Basic" には、大文字の"B"を使用して書くべきです。realm文字列は(一重引用符ではなく)二重引用符で括る必要があります。また、"HTTP/1.0 401"ヘッダ行のコード"401"の前には、1つだけ空白を置く必要があります。

単に PHP_AUTH_USERおよびPHP_AUTH_PW を出力するのではなく、ユーザー名とパスワードの有効性をチェックしたいと思うかもしれません。その場合、クエリーをデータベースに送るか、ある dbm ファイル中のユーザーを調べるといったことをすることになるでしょう。

バグのある Internet Explorer ブラウザには注意してください。このブラウザは、ヘッダの順序に関してとてもうるさいようです。今のところ、 HTTP/1.0 401 ヘッダの前に WWW-Authenticate ヘッダを送るのが効果があるようです。

誰かが従来の外部機構による認証を行ってきたページのパスワードを暴くようなスクリプトを書くことを防ぐために、特定のページに関して外部認証が可能である場合、PHP_AUTH 変数はセットされません。この場合、外部認証されたユーザーかどうかを確認するために REMOTE_USER変数、すなわち、 $_SERVER['REMOTE_USER']を使用することができます。

設定上の注意 PHP は、外部認証が動作しているかどうかの判定を AuthTypeディレクティブの有無で行います。 PHP認証を使用するコンテキストについてこのディレクティブを避けるようにして下さい。(さもないと、各認証は失敗します。)

しかし、上記の機能も、認証を要求されないURLを管理する人が同じサーバーにある認証を要するURLからパスワードを盗むことを防ぐわけではありません。

サーバーからリターンコード401を受けた際に、Netscape Navigatorおよび Internet Explorerは共にローカルブラウザのウインドウ上の認証キャッシュを消去します。この機能により、簡単にユーザーを"ログアウト"させ、強制的にユーザー名とパスワードを再入力させることができます。この機能は、"タイムアウト"付きのログインや、"ログアウト"ボタンに適用されています。

例 16-2新規に名前/パスワードを入力させるHTTP 認証の例

<?php
  function  authenticate() {
    header('WWW-Authenticate: Basic realm="Test Authentication System"');
    header('HTTP/1.0 401 Unauthorized');
    echo "このリソースにアクセスする際には有効なログインIDとパスワードを入力する必要があります。\n";
    exit;
  }

  if (!isset($_SERVER['PHP_AUTH_USER']) || ($_POST['SeenBefore'] == 1 && $_POST['OldAuth'] == $_SERVER['PHP_AUTH_USER'])) {
    authenticate();
  }  
  else  {
   echo "<p>Welcome: {$_SERVER['PHP_AUTH_USER']}<br>";
   echo "Old: {$_REQUEST['OldAuth']}";
   echo "<form action='{$_SERVER['PHP_SELF']}' METHOD='POST'>\n";
   echo "<input type='hidden' name='SeenBefore' value='1'>\n";
   echo "<input type='hidden' name='OldAuth' value='{$_SERVER['PHP_AUTH_USER']}'>\n";
   echo "<input type='submit' value='Re Authenticate'>\n";
   echo "</form></p>\n";
  }
?>

この動作は、HTTP Basic認証の標準に基づいていません。よって、この機能に依存しないように注意する必要があります。Lynx によるテストの結果、 Lynx は、認証証明書を 401 サーバー応答によりクリアしないことが明らかになっています。このため、back を押してから foward を再度押すことにより証明書の要件が変更されない限りリソースをオープンすることができます。しかし、ユーザは'_'キーを押すことにより認証情報をクリアすることが可能です。

MicrosoftのIISサーバーとCGI版のPHPの組み合わせでは、この機能は、IIS の制約により使用することができないということにも注意して下さい。

注意セーフモードが有効の場合、 WWW-Authenticateヘッダの realm部にスクリプトのuidが追加されます。