17. 章. PHP による HTTP 認証

PHPによるHTTP認証のフックは、Apacheモジュールとして実行した時のみ 有効で、CGI版では利用できません。Apache モジュールPHPスクリプトにお いて、Header() 関数を使用して "Authentication Required" メッセージをクライアントブラウザに送ることが可能です。 これにより、クライアントブラウザにユーザー名とパスワードを入力する ウインドウがポップアップ表示されます。一度、ユーザーがユーザー名と パスワードを入力すると、PHP スクリプトを含むその URL は、次回以降、 $PHP_AUTH_USER、$PHP_AUTH_PW、$PHP_AUTH_TYPE にそれぞれユーザー名、 パスワード、認証型を入力してコールされます。現在、"Basic" 認証のみ がサポートされています。詳細は、Header()を参照下 さい。

ページ上でクライアント認証を強制するスクリプトの例を以下に示します。

例 17-1. HTTP 認証の例


<?php
  if(!isset($PHP_AUTH_USER)) {
    Header("WWW-Authenticate: Basic realm=\"My Realm\"");
    Header("HTTP/1.0 401 Unauthorized");
    echo "ユーザーがキャンセルボタンを押した時に送信されるテキスト\n";
    exit;
  } else {
    echo "Hello $PHP_AUTH_USER.<P>";
    echo "あなたは $PHP_AUTH_PW をパスワードとして入力しました。<P>";
  }
?>
    

単に $PHP_AUTH_USER、$PHP_AUTH_PW を出力するのではなく、ユーザー名 とパスワードの有効性をチェックしたいと思うかもしれません。 その場合、クエリーをデータベースに送るか、ある dbm ファイル中の ユーザーを調べるといったことをすることになるでしょう。

バグのある Internet Explorer ブラウザには注意してください。このブラ ウザは、ヘッダの順序に関してとてもうるさいようです。今のところ、 HTTP/1.0 401 ヘッダの前に WWW-Authenticate ヘッダを送るのが効果があるよ うです。

誰かが従来の外部機構による認証を行ってきたページのパスワードを暴く ようなスクリプトを書くことを防ぐために、特定のページに関して外部認 証が可能である場合、PHP_AUTH 変数はセットされません。この場合、外部 認証されたユーザーかどうかを確認するために $REMOTE_USER 変数を使用 することができます。

しかし、上記の機能も、認証を要求されないURLを管理する人が同じサーバー にある認証を要するURLからパスワードを盗むことを防ぐわけではありませ ん。

サーバーからリターンコード401を受けた際に、NetscapeおよびInternet Explorerは共にローカルブラウザのウインドウ上の認証キャッシュを消去 します。この機能により、簡単にユーザーを"ログアウト"させ、強制的に ユーザー名とパスワードを再入力させることができます。この機能は、"タ イムアウト"付きのログインや、"ログアウト"ボタンに適用されています。

例 17-2. 新規に名前/パスワードを入力させるHTTP 認証の例


<?php
  function  authenticate()  {
      Header( "WWW-authenticate: basic  realm=\"Test  Authentication  System\"");
      Header( "HTTP/1.0  401  Unauthorized");
      echo  "このリソースにアクセスする際には有効なログインIDとパスワードを入力する必要があります。\n";
      exit;
  }

  if(!isset($PHP_AUTH_USER)  ||  ($SeenBefore ==  1  &&  !strcmp($OldAuth,  $PHP_AUTH_USER))  )  {
    authenticate();
  }  
  else  {
    echo  "Welcome:  $PHP_AUTH_USER<BR>";
    echo  "Old:  $OldAuth";
    echo  "<FORM  ACTION=\"$PHP_SELF\"  METHOD=POST>\n";
    echo  "<INPUT  TYPE=HIDDEN  NAME=\"SeenBefore\"  VALUE=\"1\">\n";
    echo  "<INPUT  TYPE=HIDDEN  NAME=\"OldAuth\"  VALUE=\"$PHP_AUTH_USER\">\n";
    echo  "<INPUT  TYPE=Submit  VALUE=\"Re  Authenticate\">\n";
    echo  "</FORM>\n";

}
?>
   

この動作は、HTTP Basic認証の標準に基づいていません。よって、この機 能に依存しないように注意する必要があります。Lynx によるテストの結果、 Lynx は、認証証明書を 401 サーバー応答によりクリアしないことが明ら かになっています。このため、back を押してから foward を再度押すこと により(証明書の要件が変更されない限り)リソースをオープンすることが できます。

MicrosoftのIISサーバーとCGI版のPHPの組み合わせでは、 この機能は、IISの制約により使用することができないということにも 注意して下さい。