Где ошибка в базовой авторизации?

Question

[✭ ☭]

Всем привет!

Пытаюсь сделать простейшую базовую авторизацию из мобильного приложения (phonegap) на php-сервере.

На сервере такой код:

<?php

header("Access-Control-Allow-Origin: *");

if(empty($_SERVER['PHP_AUTH_USER']))           
	{	
		header('WWW-Authenticate: Basic realm="WWW-Authenticate"');    
		header ('HTTP/1.0 401 Unauthorized'); 
		exit();                                                
	}

print "1";
?>

На клиенте такой код:

var php_авторизоваться = function()
{	 
	var запрос = new XMLHttpRequest()
    	запрос.open('POST', 'http://localhost:2222/авторизоваться.php')  
    	запрос.send()
    	запрос.onreadystatechange = function()
	        {
	          if(запрос.readyState === 4)
	            {
	            	var ответ = запрос.responseText

	            	if(ответ === '1')
		            	{	
					alert(1)
		            	}
	           }
	       }

php-код без фрагмента if(empty($_SERVER['PHP_AUTH_USER']))... работает нормально, то есть связь с сервером есть и он печатает "1"
Но авторизация не работает.



Прошу дать простейший работающий код - нужно через XMLHttpRequest() обращаться к серверу за данными, вводя пароль и логин

Answer 1

[hOtRush]

Http basic auth не работает если включены CORS со звездочкой, только если CORS настроен для конкретных хостов. Используйте jwt или подобные

Comments

[✭ ☭]

basic auth работает, но клиент не может получить от сервера данные в ответ

у моего клиентского приложения нет своего адреса всети, это может быть phonegap-приложение мобильное или electron-приложение десктопное

var php_зарегистрироваться = function()
	{
	var запрос = new XMLHttpRequest()
    	запрос.open('POST', 'http://localhost:2222/зарегистрироваться.php')  
    	запрос.withCredentials = true
    	запрос.send()
    	запрос.onreadystatechange = function()
	        {
	          if(запрос.readyState === 4)
	            {
	            	var ответ = запрос.responseText

	            	if(ответ === '')
		            	{
		            		alert('ошибка')
		            	}
		            else
			            {
			            	alert(ответ)
			            }
	            }
	        }
	}

<?php
if(empty($_SERVER['PHP_AUTH_USER']))           
	{	
		header('WWW-Authenticate: Basic realm="WWW-Authenticate"');    
		header ('HTTP/1.0 401 Unauthorized'); 
		exit();                                                
	}

$id = md5($_SERVER['PHP_AUTH_USER'] . $_SERVER['PHP_AUTH_PW']);

//проверка логина и пароля

mkdir($id);   
print "$id";  //это не доходит до клиента

?>

почитал про jwt — вообще ничего не понятно пока
есть простой пример использования?

[hOtRush]

Authorization заголовок нельзя использовать если CORS со звездочкой (может работать если все на одном хосте, на localhost например), так написано в стандарте.
https://stackoverflow.com/a/26626522/1362776
https://developer.mozilla.org/en-US/docs/Web/HTTP/...

Тут вроде сложных примеров нету https://github.com/lcobucci/jwt/blob/3.2/README.md

Answer 2

[Rsa97]

А что значит "не работает"? Не возвращает ответ с кодом 401? В консоли браузера смотрели обмен с сервером?

Answer 3

[Виктор Янышев]

Вас не смущает что написано "WWW-Authenticate", а вы пишите авторизация? и следом " Unauthorized"?
Странно, правда если убрать if(empty($_SERVER['PHP_AUTH_USER'])), как вы говорите, то ответ вы получает, а в обратном случае его не получаете? Но мне кажется что в том и в том случает всё работает просто кто-то юзает exit() и не доходит до принта.

Вы работая с заголовками вообще смотрите на них когда проверяете или ожидаете методом вызова принтов и алертов диагностировать? :)