我想在我的网站上实现摘要式身份验证。但是,我有一个带有加密用户表的用户表。我知道如果我使用基本身份验证,我可以加密 $_SERVER['PHP_AUTH_PW'] 。我们如何使用相同的方法进行摘要认证?
最佳答案
你在找这样的东西吗?
define('MY_REALM', 'THIS IS A SECURE FACILITY, AND I MEAN THAT UNIRONICALLY');
$valid = false;
if (isset($_SERVER['PHP_AUTH_USER']) && isset($_SERVER['PHP_AUTH_PW']) {
// Use your DB here; prepared statements are your friend:
$userData = $user->getByUsername($_SERVER['PHP_AUTH_USER']);
if (!empty($userData)) {
$valid = password_verify($_SERVER['PHP_AUTH_PW'], $userData['password_hash']);
}
}
if (!$valid) {
header('WWW-Authenticate: Basic realm="'.MY_REALM.'"');
header('HTTP/1.0 401 Unauthorized');
echo 'Text to send if user hits Cancel button';
exit;
}
HTTP 摘要身份验证方法几乎没有什么好处。只需在您的网站上使用 HTTPS 并使用 password_hash()
存储密码并使用 password_verify()
来检查它们。
关于php - 在 mysql 中使用加密存储的密码进行摘要式身份验证,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/24871328/