Как передать $_SERVER['REMOTE_USER'] на другой сервер?

Question

[Глюкъ Виртуален]

Всем привет
Камрады, я туплю... Пните в нужную сторону плиз.

Веб-приложение на сервере1.
Заходит юзер, авторизуется, работает. В какой-то момент переходит по ссылке на сервер2, там стоит тикет-система, у которой своя база юзерей.
Чтобы не вводить логин-пароль в тикетнице, нужно передать ей $_SERVER['REMOTE_USER']. Тогда она это прохавает и дальше уже сама с этим юзером разберется.

Но КАК, Холмс?
Я жестоко затупил и... затупил короче.

Что есть:
1.

$_SERVER['REMOTE_USER'] = $user->getUserInfo()->email;
header("REMOTE_USER: " .$user->getUserInfo()->email);
header("Location: " . $link);

2.
Браузер юзера благополучно переходит на сервер2.
Но ни одним из способов REMOTE_USER передать не удается.
В $_SERVER на принимающей стороне нету REMOTE_USER...

3.
До LDAP и прочих "космических технологий" там еще как до Китая, ничего переделывать нельзя.

Чо делать, куды бечь?

Answer 1

[Rsa97]

Значение $_SERVER['REMOTE_USER'] устанавливается Web-сервером по результатам аутентификации пользователя. Соответственно, передать это поле снаружи невозможно.

Comments

[Глюкъ Виртуален]

Спасибо, Кэп.
Пользователь аутентифицирован. Как заставить Web-сервер передать $_SERVER['REMOTE_USER']?

[Rsa97]

Глюкъ Виртуален, Никак. Это поле устанавливается не передающей, а принимающей стороной. По результатам аутентификации на принимающей стороне.

[Глюкъ Виртуален]

Rsa97, прошу прощения, но на принимающая сторона встречает юзера вот таким вот теплым словом:

if (isset($_SERVER['REMOTE_USER']) && !empty($_SERVER['REMOTE_USER']))

То есть ожидает, что он придет уже с этим заголовком.

[Rsa97]

Глюкъ Виртуален, Нет. Ваш скрипт на PHP ожидает, что будут установлено это поле. Но PHP получает всю информацию от WEB-сервера (Apache, Nginx, IIS). И именно WEB-сервер устанавливает этот заголовок по имени аутентифицированного пользователя.
Но если у вас есть доступ к исходникам, то никто не мешает использовать кроме REMOTE_USER любой другой заголовок, например X-Remote-User. Вот только это небезопасно, любой, подставивший правильное имя (например, Администратор) в такой заголовок сразу получит доступ.

[Глюкъ Виртуален]

Rsa97, что-то я не могу вас понять... пятница наверное :)

И именно WEB-сервер устанавливает этот заголовок по имени аутентифицированного пользователя.

Вот я и хочу установить этот заголовок.
Юзер залогинен, ему доступна ссылка "перейти". Ссылка ведет на контроллер внутри приложения, где юзер еще раз проверяется, затем контроллер берет его id, email.... и готовит заголовки:

if ($user = наш_человек)
{
  header("заголовок: " ."значение");
  header("Location: " . "сайт.ком");
}

Браузер юзера перенаправляется на сайт.ком, но "заголовок" туда не передается.

Но если у вас есть доступ к исходникам

Разумеется. И к передающей, и к принимающей стороне.

любой, подставивший правильное имя (например, Администратор) в такой заголовок сразу получит доступ.

Для этого ему придется кое-что угадать. И этот заголовок, и другой, и третий...

[Rsa97]

Глюкъ Виртуален, Этот заголовок не передаётся снаружи. Он генерируется WEB-сервером по результатам аутентификации пользователя на этом сервере.
Пользователь пытается открыть страницу на сервере.
Apache (Nginx, IIS) возвращает ответ 401 Unauthorized.
Браузер показывает пользователю окно ввода логина/пароля.
Пользователь вводит свои учётные данные.
Браузер отправляет их серверу.
Сервер проводит аутентификацию (модули auth_* для Apache) и, если она успешная, устанавливает заголовок REMOTE_USER.
Пришедшие в запросе заголовки REMOTE_USER игнорируются.

[Глюкъ Виртуален]

Rsa97, аблинчорд, так тут вот эта самая механизьма используется?

[Rsa97]

Глюкъ Виртуален, Дык. Используйте свой заголовок, например X-Remote-User и просто добавьте в начало скрипта что-то вроде

if (isset($_SERVER['HTTP_X_REMOTE_USER']) && !isset($_SERVER['REMOTE_USER'])) {
  $_SERVER['REMOTE_USER'] = $_SERVER['HTTP_X_REMOTE_USER'];
}

[Глюкъ Виртуален]

Rsa97, мерсибо!
В доке об этом ни слова, а я не использую HTTP Auth... вот и не понял в чем тут дело.
Опенсорс блин как всегда... :(