Почему может некорректно отрабатывать http аутентификация на сервере для soap сервиса?

Question

[EVOSandru6]

Добрый день,

Выполнил построение wsdl структуры, без авторизации все отрабатывается, хочу воткнуть простейшую http авторизацию:

class SoapWebServiceAction extends CWebServiceAction
{
   public function run()
    {
        header('Content-Type: text/xml; charset=utf-8');

        $username = '123';
        $passwd = '123';

        header('X-HEADER : ' . $_SERVER['PHP_AUTH_USER'] . ':' .$_SERVER['PHP_AUTH_PW']);

        if (!isset($_SERVER['PHP_AUTH_USER'])) {
            header('WWW-Authenticate: Basic realm="My Realm"');
            header('HTTP/1.0 401 Unauthorized: ' . $_SERVER['PHP_AUTH_USER'] . ':' .$_SERVER['PHP_AUTH_PW']);
            echo "Вы должны ввести корректный логин и пароль для получения доступа к ресурсу";
            exit;
        } else {
             if ($username == $_SERVER['PHP_AUTH_USER'] && $passwd == $_SERVER['PHP_AUTH_PW']) {
                parent::run();
            }
            else {
                throw new Exception($_SERVER['PHP_AUTH_USER'] . ':' .$_SERVER['PHP_AUTH_PW']);
            }
        }
    }
...
}

1. Проверяю через программу soapui. Ввожу адрес сервиса, ввожу данные доступа, получаю список методов с шаблоном для запроса.
2. Для запросов также для каждого метода вводить данные авторизации. Сделал.

Если ввожу неправильные данные - 99, 888, то ловлю ожидаемо:

99:888 из блока:

throw new Exception($_SERVER['PHP_AUTH_USER'] . ':' .$_SERVER['PHP_AUTH_PW']);

Тут все понятно, авторизационные данные не верны, но если я ввожу правильные (123, 123) данные, то ловлю ('' - пустоты):

HTTP/1.0 401 '' : ''

Как будто бы я не отправлял данных авторизации.

Подскажите - почему такое может быть?

Answer 1

[ivankomolin]

Вместо
parent::run();
Напишите
var_dump('+');die;

И посмотрите результат)

И кстати поаккуратнее с такими проверками паролей "=="

Comments

[EVOSandru6]

Вы просто гений!

А куда мне можно засунуть авторизацию, чтобы таких проблем не было?

[ivankomolin]

Дело не в месте хранения, а в способе проверки.

$a == $b - TRUE если $a равно $b после преобразования типов.
$a === $b - TRUE если $a равно $b и имеет тот же тип.

Для паролей рекомендуется жестко использовать строковый тип и сравнивать оператором "тождественно равно", т.е. "==="

[EVOSandru6]

ivankomolin, Благодарю, тут Вы действительно правы!

Но в блок савторизацией все равно не могу попасть. Попробовал засунуть в beforeAction:

public function beforeAction($action)
    {
        parent::beforeAction($action);

         if (!isset($_SERVER['PHP_AUTH_USER'])) {
             header('WWW-Authenticate: Basic realm="My Realm"');
             header('HTTP/1.0 401_1 U_Unauthorized');
             echo "Вы должны ввести корректный логин и пароль для получения доступа к ресурсу";
             exit;
         } else {
             if (SoapAuth::AUTH_USERNAME === $_SERVER['PHP_AUTH_USER'] && SoapAuth::AUTH_PASSWORD === $_SERVER['PHP_AUTH_PW']) {
                 return true;
             }
             else {
                 // throw new Exception($_SERVER['PHP_AUTH_USER'] . ':' .$_SERVER['PHP_AUTH_PW']);
                 return false;
             }
         }
    }

В случае неправильных данных падаю return false, в случае ввода правильных в 401 Unauthorized

Причем в данном случае немного изменил заголовок 401:

header('HTTP/1.0 401_1 U_Unauthorized');

На выходе ловлю

HTTP/1.0 401 Unauthorized')

Когда пробовал делать авторизацию в секции run() - заголовок оставался таким, как я его писал - если это важно.

[ivankomolin]

Если вы не можете понять где и как вставить этот код, то вам стоит либо воспользоваться уже готовыми решениями(В yii есть готовые классы для реализации подобной аунтификации), либо разобраться и понять как работает инициализация yii перед обработкой этого самого кода(читая код yii)

Любые советы вставить это туда-то сюда-то считаю "медвежьей услугой", т.к. любая нестандартная доработка в процессе инициализации заведомо костыль.

[EVOSandru6]

ivankomolin, Благодарю. Дело в том что речь идет о Yii1. По поводу готовых классов - все что нашел - условно недокументируемый https://github.com/DaSourcerer/yii-httpauth

Там показан только процесс подключения без реализации. Если Вы имели ввиду другой, был бы очень благодарен да наводку. Костыль неминуем в моей ситуации)

[ivankomolin]

Да, в yii1 вроде с этим сложнее было. Уже не помню что и как там, но есть вектор куда копать CUserIdentity.

Если честно, ни разу не приходило в голову реализовывать basic auntification на php.
Т.к. всегда использую его в связке с nginx, а там это очень удобно реализовано.

[ivankomolin]

Ну а если все таки хотите костыль, то в yii1 в каждом котроллере можно определить метод init()
Думаю там будет самое то для такого костыля))

[EVOSandru6]

Спасибо. Пробовал в init(), beforeSave() и __construct() у контроллера. Поведение одно и тоже. Корректно отрабатывет только первичная авторизация. Проблема при вызове отдельных методов. Пробовал еще фильтр https://github.com/DaSourcerer/yii-httpauth применительно к контроллеру такого вида:

class HttpAuthFilterSoap extends CFilter
{
	public $realm;

	public function preFilter($filterChain)
	{
		if(!array_key_exists('PHP_AUTH_USER', $_SERVER)){
                       $this->sendAuthHeaders();
                }

		if(!$this->login()) {
                    $this->sendAuthHeaders();
                }

		return true;
	}

	protected function sendAuthHeaders()
	{
		if($this->realm === null)
			$this->realm = Yii::app()->name;
		$this->realm = addcslashes($this->realm, '"\\');
		header(sprintf('WWW-Authenticate: Basic realm="%s"', $this->realm));
		throw new CHttpException(401);
	}

    private function login()
    {
        return SoapAuth::AUTH_USERNAME === $_SERVER['PHP_AUTH_USER'] && SoapAuth::AUTH_PASSWORD === $_SERVER['PHP_AUTH_PW'];
    }
}

Ситуация аналогичная)

[EVOSandru6]

Нашел такую вещь:

Жизненный цикл приложения Yii1

Жизненный цикл приложения при обработке пользовательского запроса выглядит следующим образом:

Предварительная инициализация приложения через CApplication::preinit().

Инициализация обработчика ошибок.

Регистрация компонентов ядра.

Загрузка конфигурации приложения.

Инициализация приложения CApplication::init():

регистрация поведений приложения;
загрузка статических компонентов приложения.
Вызов события onBeginRequest.

Обработка запроса:

сбор информации о запросе;
создание контроллера;
запуск контроллера.
Вызов события onEndRequest

не подскажете в каком месте можно получить доступ к onBeginRequest или до него. Я так полагаю, что между ними сидят перехватчики, которые создают мне проблему.

[EVOSandru6]

Пробовал в init() модуля запихать события:

Yii::app()->onBeginRequest = function($event){
            LogHelper::log('start');
    return ob_start("ob_gzhandler");
};

Yii::app()->onEndRequest = function($event){
            LogHelper::log('finish');
    return ob_end_flush();
};

Логируется только finish;

К сожалению не нашел списка событийкомпонента. В процессе. Думаю мне нужно что-то типа onBeforeRequest, но на такое ругается.