verificar o header Autorização no quadro da API Restler

Eu quero estender o Restler para verificar se um valor válido de Autorização de header personalizado foi aprovado. Estou tendo problemas para resolver a solução, eu tentei isso, mas não há chance:

class AuthenticateMe implements iAuthenticate() { function __isAuthenticated() { //return isset($_SERVER['HTTP_AUTH_KEY']) && $_SERVER['HTTP_AUTH_KEY']==AuthenticateMe::KEY ? TRUE : FALSE; $headers = apache_request_headers(); foreach ($headers as $header => $value) { if($header == "Authorization") { return TRUE; } else { //return FALSE; throw new RestException(404); } } } } 

Permita-me corrigir rapidamente o seu exemplo de header de autenticação personalizado

 class HeaderAuth implements iAuthenticate{ function __isAuthenticated(){ //we are only looking for a custom header called 'Auth' //but $_SERVER prepends HTTP_ and makes it all uppercase //thats why we need to look for 'HTTP_AUTH' instead //also do not use header 'Authorization'. It is not //included in PHP's $_SERVER variable return isset($_SERVER['HTTP_AUTH']) && $_SERVER['HTTP_AUTH']=='password'; } } 

Eu testei isso para ter certeza de que ele funciona!

Veja como fazê-lo funcionar com o header da Autorização , ele funciona apenas em servidores apache

  class Authorization implements iAuthenticate{ function __isAuthenticated(){ $headers = apache_request_headers(); return isset($headers['Authorization']) && $headers['Authorization']=='password'; } } 

Eu descobri que o PHP converte o header da Authorization em $_SERVER['PHP_AUTH_DIGEST'] ou $_SERVER['PHP_AUTH_USER'] e $_SERVER['PHP_AUTH_PW'] dependendo do tipo de solicitação de autenticação (digest ou basic), podemos usar o seguinte arquivo .htaccess para habilitar o header $_SERVER['HTTP_AUTHORIZATION']

DirectoryIndex index.php

 DirectoryIndex index.php  RewriteEngine On RewriteRule ^$ index.php [QSA,L] RewriteCond %{REQUEST_FILENAME} !-f RewriteCond %{REQUEST_FILENAME} !-d RewriteRule ^(.*)$ index.php [QSA,L] RewriteRule .* - [env=HTTP_AUTHORIZATION:%{HTTP:Authorization},last]  

parte importante é RewriteRule. * – [env = HTTP_AUTHORIZATION:% {HTTP: Autorização}, último]

Agora, nosso exemplo pode ser simplificado para:

 class Authorization implements iAuthenticate{ function __isAuthenticated(){ return isset($_SERVER['HTTP_AUTHORIZATION']) && $_SERVER['HTTP_AUTHORIZATION']=='password'; } } 

Autenticação de header

existem três maneiras de fazê-lo

  1. Autenticação básica HTTP
  2. Autenticação HTTP Digest
  3. Rolo nosso próprio usando headers HTTP personalizados

Você pode ler mais do Manual do PHP

O Restler 1.0 teve um exemplo de Autenticação Digest. Eu modifiquei para fazê-lo funcionar com o Restler 2.0

 class DigestAuthentication implements iAuthenticate { public $realm = 'Restricted API'; public static $user; public $restler; public function __isAuthenticated() { //user => password hardcoded for convenience $users = array('admin' => 'mypass', 'guest' => 'guest'); if (empty($_SERVER['PHP_AUTH_DIGEST'])) { header('HTTP/1.1 401 Unauthorized'); header('WWW-Authenticate: Digest realm="'.$this->realm.'",qop="auth",nonce="'. uniqid().'",opaque="'.md5($this->realm).'"'); throw new RestException(401, 'Digest Authentication Required'); } // analyze the PHP_AUTH_DIGEST variable if (!($data = DigestAuthentication::http_digest_parse($_SERVER['PHP_AUTH_DIGEST'])) || !isset($users[$data['username']])) { throw new RestException(401, 'Wrong Credentials!'); } // generate the valid response $A1 = md5($data['username'] . ':' . $this->realm . ':' . $users[$data['username']]); $A2 = md5($_SERVER['REQUEST_METHOD'].':'.$data['uri']); $valid_response = md5($A1.':'.$data['nonce'].':'.$data['nc'].':'.$data['cnonce'].':'.$data['qop'].':'.$A2); if ($data['response'] != $valid_response) { throw new RestException(401, 'Wrong Credentials!'); } // ok, valid username & password DigestAuthentication::$user=$data['username']; return true; } /** * Logs user out of the digest authentication by bringing the login dialog again * ignore the dialog to logout * * @url GET /user/login * @url GET /user/logout */ public function logout() { header('HTTP/1.1 401 Unauthorized'); header('WWW-Authenticate: Digest realm="'.$this->realm.'",qop="auth",nonce="'. uniqid().'",opaque="'.md5($this->realm).'"'); die('Digest Authorisation Required'); } // function to parse the http auth header private function http_digest_parse($txt) { // protect against missing data $needed_parts = array('nonce'=>1, 'nc'=>1, 'cnonce'=>1, 'qop'=>1, 'username'=>1, 'uri'=>1, 'response'=>1); $data = array(); $keys = implode('|', array_keys($needed_parts)); preg_match_all('@(' . $keys . ')=(?:([\'"])([^\2]+?)\2|([^\s,]+))@', $txt, $matches, PREG_SET_ORDER); foreach ($matches as $m) { $data[$m[1]] = $m[3] ? $m[3] : $m[4]; unset($needed_parts[$m[1]]); } return $needed_parts ? false : $data; } }