php - 如何在不需要身份验证时从 URL 检索尝试的 $_SERVER ['REMOTE_USER' ]

Question

通常，当一个可公开访问的目录需要基本的 HTTP 身份验证时，$_SERVER['HTTP_AUTHORIZATION'] 和/或 $_SERVER['REMOTE_USER'] 的值(或 $_SERVER['PHP_AUTH_USER'] 等)将在向服务器提供有效的用户名/密码组合后设置并可供 PHP 访问。

例如，如果 http://www.example.com/members 需要基本身份验证，并且用户使用凭据 myusername 和 mypassword 成功进行了身份验证 通过在浏览器中手动输入 http://myusername:mypassword@www.example.com/members，$_SERVER['HTTP_AUTHORIZATION'] 的值会是这样的:

Basic bXl1c2VybmFtZTpteXBhc3N3b3Jk

... $_SERVER['REMOTE_USER'] 的值将简单地为:

myusername

但是，如果在同一目录中不需要身份验证，但仍然使用其中的用户名/密码访问 URL，则用户名/密码的值似乎没有在任何地方设置(运行 PHP 5.3.10作为 Apache/2.2.22 上的 CGI/FastCGI)。

在 PHP 中(和/或 .htaccess，如果需要)，当不需要身份验证时，有没有办法检索用户名的值(和/或密码)是由访问者手动将其添加到 URL 中提供的？

Answer 1

TLDR；据我所知，信息从未发送到服务器，所以我声称这是不可能的。

如果您设置了 http 身份验证的工作方式是服务器发送用户/密码请求(如果尚未设置)，然后浏览器将该信息以编码形式添加到 Authorization header 中，并且将其与请求一起发送到服务器。

如 RFC 2617 中所述，描述了基本和摘要身份验证机制 对于基本身份验证，服务器发送 HTTP 401 Not Authorized 状态和 WWW-Authenticate header 字段来请求此信息. ( RFC 2617, Access Authentication Framework )

通过测试可以看出，如果从未在服务器上配置要求的身份验证，服务器将不会从浏览器请求身份验证信息，浏览器也不会将用户/密码信息添加到请求中。 RFC 不强制浏览器(用户代理)不传递该信息，而是说

A user agent that wishes to authenticate itself with an originserver--usually, but not necessarily, after receiving a 401(Unauthorized)--MAY do so by including an Authorization header fieldwith the request.

实际上，如果您查看发送的 header ，您会发现如果服务器请求此信息，它会使用 RFC 指定的 Authorization header 以编码形式发送。但是，如果您没有使用任何身份验证，您发送的请求似乎不包含任何形式的信息。我自己已经用 IE、Firefox 和 Chrome 浏览器证实了这一点。

---

如果您想自己测试您的设置，可以使用 netcat 来完成，例如:

首先，在您的服务器上运行 netcat:

nc -l 8888

然后从您的浏览器发出请求到http://testvalue:testvalue@yourdomain:8888/

因此，从 netcat 输出中观察到发送到服务器的所有信息，如下所示:

GET / HTTP/1.1
Host: yourdomain:8888
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:39.0) Gecko/20100101 Firefox/39.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Connection: keep-alive

任何地方都没有关于用户或密码的信息。我声称除非服务器请求它，否则它不会在那里。