Аутентификация

[aleksk]

Подскажите , что такое внешняя аутентификация? И создаются ли какие нибудь сесии сервером или надо самому их создавать средствами PHP(или другими) при использовании HTTP-аутентификации?Спасибо!!!

[Антон (LogRus)]

Вообще для этого существуют уже готовые библиотеки PHP, наример, для ldap аутентификации.

[aleksk]

Если можно то подробнее!!! Просто я не это спрашивал

[RXL]

aleksk, уточни, что ты имеешь в виду под "HTTP-аутентификацией"?

Сущестуют способы аутентификации, созданные как раз для протокола HTTP, - они описаны в соотв. RFC. Обычно они обрабатываются HTTP-сервером. Например, Basic HTTP authentication в браузере выглядит как всплывающее окно с приглашением ввода логина и пароля.

Наиболее распространены сейчас в Интернете способы, ничего общего с HTTP (кроме того, что он используется как транспорт) не имеющими. Они, обычно, обрабатывается сторонним ПО.

Кстати, в первом случае это не связано с сессиями - клиент передает данные при каждом запросе, а во втором случае, как правило, аутентификация используется для инициации сессии.

[aleksk]

 После отправки таких заголовков ( header("WWW-Authenticate: Basic realm=\"My Realm\""); header("HTTP/1.0 401 Unauthorized") как передаются логин и пароль другим страницам требующим аутентификации? И ,что называется внешней аутентификацией? И какой способ лучше?

[RXL]

aleksk, вот это (приведенные тобой заголовки) и есть Basic (RFC 2617): http://lib.irismedia.org/sait/helper10/rfc11.htm

"Внешняя" - неудачная, на мой взгляд, характеристика.
Как пример - этот форум. Сервер показывает страницу с формой, результат которой пересылается программе на сервере (php-скрипту), которая и решает вопрос валидности данных и ведения сессии.

Лучше тот способ, который ты посчитаешь подходящим к своим условиям.

Первый способ хорош тогда, когда ПО не поддерживает авторизацию. Напр., у тебя там просто файлы - картинки, html-страницы, бинарники. Но если тебе нужно управлять сессией, то нужно использовать второй способ.

[aleksk]

Спасибо огромное!!! А случаем перевода нету...?

[RXL]

aleksk, а ты порыскай в поисковике. Нечто вроде: "RFC2617 по-русски".

[aleksk]

А как при использовании HTTP-аутентификации сделать logout?

[RXL]

aleksk, логина, по сути, не происходит - информация шлется при каждом HTTP-запросе. Чтобы браузер "забыл" ранее введенные логин/пароль нужно его перегрузить (если у него нет более гуманных методов).

[aleksk]

Спасибо огромное!!!!

[Антон (LogRus)]

aleksk, логина, по сути, не происходит - информация шлется при каждом HTTP-запросе. Чтобы браузер "забыл" ранее введенные логин/пароль нужно его перегрузить (если у него нет более гуманных методов).

А как же печеньки?
Шлётся обычно не идентификционая информация я некий хэш или ID сессии и т.д.
для логаута обычно использую 2 похода(если я правильно понимаю, хотя я не специалист ).
1. инвалидация данных о сессии на стороне сервера
2. инвалидация куков на клиенте.

[RXL]

LogRus, я говорил не о cookies, а о RFC2617. Их объединяет лишь почылка в HTTP-заголовке, но не более. По RFC2617 шлется именно логин/пароль: если их не вложить в запрос, то сервер вежливо пошлет  за ними. С куками все иначе: раздает их сервер и если ты забудешь ему их послать, то их как бы и не было.
Первый вариант легче реализуется, т.к. ничего кроме небольшой настройки сервера и списка логин/паролей не требуется. Это один их самых простых способов ограничения доступа.
Во втором варианте нужна продвинутая логика, которую реализует уже не сервер, а ПО, запущенное под ним. Это более гибкий инструмент, но и менее надежный, и решать им можно не только ограниение доступа.