PHP获取AUTHORIZATION认证验证

最新推荐文章于 2025-06-20 11:45:00 发布
原创 最新推荐文章于 2025-06-20 11:45:00 发布 · 1.8w 阅读 · 9 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#HTTP

本文详细介绍了在Apache服务器环境下,如何正确处理HTTP请求中的Authorization头部信息,解决因默认配置导致无法读取的问题,并提供了兼容Nginx和其他服务器的代码示例。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

做接口认证的时候,我们可能会用到自定义header头Authorization。
我们都知道php的自定义头信息都可以使用$SERVER['HTTP*']来获取,如header('test: wzhtest');获取的时候,我们可以使用$_SERVER['HTTP_TEST']来获取。

  • 这里说明下。Authorization可能是个例外。nginx没问题,但是Apache下可能会出现一个问题。那就是我们使用$_SERVER['HTTP_AUTHORIZATION']可能就获取不到值。

Apache服务器下,我们需要开启rewrite_module模块,然后编辑.htaccess文件,在上面加入

#Authorization Headers
RewriteCond %{HTTP:Authorization} ^(.+)$
RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization}]

如果没有开启过rewrite_module模块,我们需要新建.htaccess 内容如下:

Options +FollowSymlinks -Multiviews
RewriteEngine On
#Authorization Headers
RewriteCond %{HTTP:Authorization} ^(.+)$
RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization}]

通过下面的方法我们可以兼容的处理:

public function getBasicAuthorized(){
        $UserName = '';
        $PassWord = '';

        //Apache服务器
        if (isset($_SERVER['PHP_AUTH_USER'])) {
            $UserName = $_SERVER['PHP_AUTH_USER'];
            $PassWord = $_SERVER['PHP_AUTH_PW'];
        }elseif(isset($_SERVER['HTTP_AUTHORIZATION'])){//其他服务器如 Nginx  Authorization
            if (strpos(strtolower($_SERVER['HTTP_AUTHORIZATION']), 'basic') === 0) {
                $Authorization = explode(':', base64_decode(substr($_SERVER['HTTP_AUTHORIZATION'], 6)));
                $UserName = isset($Authorization[0])?$Authorization[0]:'';
                $PassWord = isset($Authorization[1])?$Authorization[1]:0;
            }
        }

        return array($UserName,$PassWord);
    }

 

在双因素身份认证领域混迹6年,聊聊我的一点见解
m0_37462473的博客
09-11 641
先简单聊点众所周知的,什么是双因素认证? 借用百科的描述: 双因素认证是一种采用时间同步技术的系统,采用了基于时间、事件和密钥三变量而产生的一次性密码来代替传统的静态密码。每个动态密码卡都有一个唯一的密钥,该密钥同时存放在服务器端,每次认证时动态密码卡与服务器分别根据同样的密钥,同样的随机参数(时间、事件)和同样的算法计算了认证的动态密码,从而确保密码的一致性,从而实现了用户的认证。因每次认证时的随机参数不同,所以每次产生的动态密码也不同。由于每次计算时参数的随机性保证了每次密码的不可预测性,从而在最
Laravel中的.htaccess匹配规则详解
weixin_43666969的博客
10-23 885
处理 API 请求中的 Authorization 头,确保它传递给后端应用。去掉 URL 中不必要的斜杠,以避免重复 URL。将所有找不到文件或目录的请求转发给 index.php,让应用程序处理。
tp6获取不到请求头的Authorization, 解决方法
Shelly Long的博客
12-06 4055
在.htaccess里面加多一项 <IfModule mod_rewrite.c> Options +FollowSymlinks -Multiviews RewriteEngine On RewriteCond %{REQUEST_FILENAME} !-d RewriteCond %{REQUEST_FILENAME} !-f RewriteRule ^...
PHP开启Authorization验证
彭俊平的博客
12-17 1533
在开发Restful AIP 接口时,使用Authorization 验证,接收不到 $_SERVER['PHP_AUTH_USER'] 和 $_SERVER[‘PHP_AUTH_PW’] 值,可以通过修改 .htaccess文件来解决: RewriteEngine on RewriteCond %{REQUEST_FILENAME} !-d RewriteCond %{REQUEST_FILEN...
PHP反序列化攻击通俗解释
最新发布
weixin_43172311的博客
06-20 907
想象一下,你把一只折叠好的纸鹤(序列化后的数据)展开(反序列化),结果它突然变成了一只带刀片的机械鸟,狠狠啄了你一下——这就是PHP反序列化攻击的可怕之处。
laravel访问路由404
Babysbreath__的博客
02-24 406
修改public下的.htaccess文件 添加如下代码 <IfModule mod_rewrite.c> <IfModule mod_negotiation.c> Options -MultiViews -Indexes </IfModule> RewriteEngine On # Handle Authorization Header RewriteCond %{HTTP:Authorization} .
PHP 前后端交互 获取AUTHORIZATION认证
日常学习集锦
11-20 3144
修改文件:.htaccess 修改位置:入口文件同级目录 修改内容: Apache服务器下,我们需要开启rewrite_module模块 添加主要代码:HTTP_AUTHORIZATION 是你获取 HTTP:Authorization 的 key 值 及:获取方式 $_SERVER['HTTP_AUTHORIZATION'] # 获取 #Authorization He...
PHP如何实现登录认证和鉴权
likeshopgood的博客
07-31 553
本文由团队出品在Web开发中,用户认证(Authentication)和授权(Authorization)是构建安全应用程序的核心组件。用户认证验证用户身份的过程,确保用户是他们声称的那个人。而授权则是确定已认证用户是否有权访问特定资源或执行特定操作的过程。PHP框架通过提供内置机制或集成第三方库来简化这些过程。本文将探讨PHP框架中用户认证和授权的实现方法,并提供示例代码。用户认证
php获取不到名为Authorization的header头
07-02
解决php获取不到客户端发来的Authorization的header头信息
PHP实现唤起微信支付功能
10-17
主要为大家详细介绍了PHP实现唤起微信支付功能,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
phpauthorization,解决PHP获取不到Authorization问题
weixin_35725138的博客
03-27 2098
在部署 Memcached 图形界面的时候,通过Authorization传递登陆信息Token,但是每次都接收不到值导致登陆不上,通过修改.htaccess文件,问题成功解决了。登陆方式如下:if (!isset($_SERVER['PHP_AUTH_USER']) || !isset($_SERVER['PHP_AUTH_PW']) ||$_SERVER['PHP_AUTH_USER'] !=...
php代码-海康摄像头HTTP获取图片。 Authorization: Digest算法 第一次http://192.168.16.223/ISAPI/Streaming/channels/33/picture 返回头中Authorization参数用于此计算,得出新的Authorization,放于头中再次请求就得到图片
07-14
5. **获取图片**:如果计算正确,服务器会验证这个Authorization并返回200 OK响应,携带所请求的图片数据。 在压缩包中,`main.php`可能是实现这个过程的PHP代码,它可能包括了处理HTTP请求、解析响应头、计算...
PHP获取windows登录用户名的方法
10-25
在探讨PHP获取Windows登录用户名的方法时,主要涉及的技术是NTLM(NT LAN Manager)认证协议。NTLM是微软早期推出的一种用于Windows平台的认证协议,它在Windows NT 3.1时代就已经出现,是Windows NT早期版本的标准...
14-解决phpstudy&Apache环境下 php 获取不到Authorization问题
我们的目标是星辰大海!
07-19 830
14-解决phpstudy&Apache环境下 php 获取不到Authorization问题
解决php获取不到Authorization问题
weixin_30367873的博客
08-08 1259
我用的是thinkphp3.2.3, 在使用jwt的时候通过Authorization传递token,但是每次都接收不到,通过修改。.htaccess文件,问题成功解决了,下面是的.htaccess文件,有两种修改方式都可以    第一种 <IfModule mod_rewrite.c> RewriteEngine on RewriteCond %{REQ...
php authorize,authorize.php
weixin_32903229的博客
03-23 399
/*** 接口文档地址:https://docs.open.alipay.com/53/104114*/header('Content-type:text/html; Charset=utf-8');/*** 请填写以下配置信息 ***/$scope = 'auth_base'; //auth_base或auth_userinfo。如果只需要获取用户id,填写auth_base即可。如...
php web 登录验证,Web登录Authorization验证
weixin_29940495的博客
03-11 3636
通过Http访问服务器的一个服务软件的数据,浏览器会弹出以下验证弹框:由于想用PHP curl方法获取数据,但不知道怎么设置用户名和密码验证参数:这样发现不起作用:curl_setopt($curl, CURLOPT_USERPWD, "name:pwd");curl_setopt($curl, CURLOPT_HTTPAUTH, CURLAUTH_ANY);使用postman模拟登陆登陆以后我发...
如何在PHP中实现用户认证与授权
2509_90995520的博客
03-06 1113
PHP中实现用户认证与授权是构建安全Web应用的基础。通过合理的数据库设计、密码哈希、会话管理和权限控制,开发者可以有效地保护用户数据和系统资源。在实际开发中,还应结合具体业务需求,灵活调整认证与授权的实现方式,并始终关注安全性问题。通过本文的介绍,相信读者已经掌握了在PHP中实现用户认证与授权的基本方法。希望这些知识能够帮助您构建更加安全可靠的Web应用程序。
微信商家转账获取Authorization
03-18
<think>好的,我现在要帮助用户了解如何在微信商家转账中获取Authorization授权。首先,我需要回忆一下之前看到的引用内容,确保信息准确。根据引用[1],Authorization是请求头中的必填字段,需要签名内容。引用[2]详细说明了签名算法,特别是nodejs的实现,提到签名串的构造方法。引用[3]提到PHP开发中需要添加Wechatpay-Serial头部,带上平台证书序列号。 首先,用户需要明确Authorization的组成,根据文档,Authorization认证类型和签名信息组成,格式是`WECHATPAY2-SHA256-RSA2048 {签名信息}`。签名信息包括商户号、时间戳、随机字符串、请求体摘要和证书序列号。 然后,构造签名串是关键。按照引用[2],签名串由HTTP方法、URL、时间戳、随机串和请求报文主体组成,各部分用换行符连接。例如,POST请求的话,URL需要是绝对路径,比如/v3/transfer/batches,并且如果有查询参数需要加上。请求时间戳是秒级的时间戳,随机串要足够随机,比如用UUID。请求报文主体的摘要需要是请求体的SHA-256值,然后Base64编码。 接下来,使用商户私钥对签名串进行RSA签名,生成签名值,再进行Base64编码。最后,将这些元素组合成Authorization头。同时,不要忘记设置Wechatpay-Serial头部为平台证书序列号,如引用[3]所述。 需要注意的地方包括时间戳的有效期,通常为5分钟,随机字符串的不可重复性,以及URL的绝对路径处理。此外,不同编程语言的实现可能不同,但核心步骤一致。用户可能需要参考具体的SDK或示例代码,比如引用[2]中的nodejs示例或引用[3]的PHP处理方式。最后,测试和验证是关键,可以通过微信提供的调试工具或沙箱环境来检查签名是否正确。</think>### 微信商家转账 Authorization 获取方式 在微信支付商户API v3中,`Authorization`的获取需要通过**签名算法**构造,具体步骤如下: --- #### 一、Authorization 结构说明 `Authorization`由认证类型和签名信息组成,格式为: ``` WECHATPAY2-SHA256-RSA2048 {签名信息} ``` 其中签名信息包含以下参数(按顺序拼接): ``` mchid="商户号",nonce_str="随机字符串",timestamp="时间戳",serial_no="商户证书序列号",signature="签名值" ``` --- #### 二、签名生成步骤 1. **构造签名串** 签名串由以下5部分通过换行符`\n`连接组成: ``` HTTP请求方法 请求绝对路径 请求时间戳(秒级) 请求随机字符串(如UUID) 请求报文主体(JSON字符串的SHA-256摘要) ``` - **示例**(POST请求转账): ``` POST /v3/transfer/batches 1622451234 5K8264ILTKCH16CQ2502SI8ZNMTM67VS kZO/cYvY8E9Fw3v7+tzY3uB1I4GB0O6RV00H9Jj12Bg= ``` 2. **生成签名值** - 使用**商户私钥**对签名串进行`RSA-SHA256`加密。 - 将加密结果通过`Base64`编码,得到`signature`字段。 3. **组装Authorization** 将签名信息按格式拼接: ``` WECHATPAY2-SHA256-RSA2048 mchid="190000XXXX",nonce_str="5K8264ILTKCH16CQ2502SI8ZNMTM67VS",timestamp="1622451234",serial_no="5157F0xxxxxxxxxx",signature="kZO/cYvY8E9Fw3v7+tzY3uB1I4GB0O6RV00H9Jj12Bg=" ``` --- #### 三、关键注意事项 1. **HTTP头部要求** - 必须包含`Wechatpay-Serial`字段,值为**微信支付平台证书序列号**(非商户证书)[^3]。 - 请求头示例: ```http Content-Type: application/json Accept: application/json Authorization: WECHATPAY2-SHA256-RSA2048 {签名信息} Wechatpay-Serial: 45D7F4xxxxxxxxxx ``` 2. **签名工具与调试** - 可通过微信官方提供的[签名验证工具](https://pay.weixin.qq.com/wiki/doc/apiv3/wechatpay/wechatpay6_0.shtml)检查签名。 - 时间戳有效期通常为5分钟,需注意本地时钟同步[^2]。 --- #### 四、代码示例(Python伪代码) ```python import hashlib import base64 import uuid import time from cryptography.hazmat.primitives import serialization from cryptography.hazmat.primitives.asymmetric import padding # 1. 构造签名串 method = "POST" url = "/v3/transfer/batches" timestamp = str(int(time.time())) nonce = str(uuid.uuid4()) body = '{"appid":"wx1234567890","out_batch_no":"R202308010001"}' body_digest = base64.b64encode(hashlib.sha256(body.encode()).digest()).decode() signature_str = f"{method}\n{url}\n{timestamp}\n{nonce}\n{body_digest}" # 2. 使用商户私钥签名 with open("merchant_private_key.pem", "rb") as key_file: private_key = serialization.load_pem_private_key(key_file.read(), password=None) signature = private_key.sign(signature_str.encode(), padding.PKCS1v15(), hashlib.sha256) signature_b64 = base64.b64encode(signature).decode() # 3. 组装Authorization authorization = f'WECHATPAY2-SHA256-RSA2048 mchid="190000XXXX",nonce_str="{nonce}",timestamp="{timestamp}",serial_no="5157F0xxxxxxxxxx",signature="{signature_b64}"' ``` ---
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值