boarspring
/
repo_zf1
miroir de https://github.com/bluescreen/zf1-php7.2.git


			
				
					
						
						
							123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115116117118119120121122123124125126127128129130131132133134135136137138139140141142143144145146147148149150151152153154155156157158159160161162163164165166167168169170171172173174175176177178179180181182183184185186187188189190191192193194195196197198199200201202203204205206207208209210211212213214215216217218219220221222223224225226227228229230231232233234235236237238239240241242243244245246247248249250251252253254255256257258259260261262263264265266267268269270271272273274275276277278279280281282283284285286287288289290291292293294295296297298299300301
							<?xml version="1.0" encoding="UTF-8"?>
<!-- EN-Revision: 15346 -->
<!-- Reviewed: no -->
<sect1 id="zend.auth.adapter.http">

    <title>HTTP Authentication Adapter</title>

    <sect2 id="zend.auth.adapter.http.introduction">

        <title>Einführung</title>

        <para>
            <classname>Zend_Auth_Adapter_Http</classname> bietet die am meisten entsprechende
            Implementation von <ulink url="http://tools.ietf.org/html/rfc2617">RFC-2617</ulink>,
            <ulink url="http://en.wikipedia.org/wiki/Basic_authentication_scheme">Basis</ulink> und
            <ulink url="http://en.wikipedia.org/wiki/Digest_access_authentication">Digest</ulink>
            HTTP Authentifizierung. Digest Authentifizierung ist eine Methode der HTTP
            Authentifikation die die Basis Authentifizierung erweitert indem ein Weg angeboten wird
            um sich zu Authentifizieren ohne das das Passwort im Klartext über das Netzwerk
            geschickt werden muß.
        </para>

        <para>
            <emphasis>Hauptsächliche Features:</emphasis>
            <itemizedlist>
                <listitem>
                    <para>
                        Unterstützt sowohl Basis als auch Digest Authentifizierung.
                    </para>
                </listitem>
                <listitem>
                    <para>
                        Enthält Aufrufe für alle unterstützten Schemas, damit Klienten mit jedem
                        unterstützten Schema arbeiten können.
                    </para>
                </listitem>
                <listitem>
                    <para>
                        Bietet Proxi Authentifizierung.
                    </para>
                </listitem>
                <listitem>
                    <para>
                        Enthält Unterstützung für die Authentifizierung gegenüber Textdateien und
                        bietet ein Interface für die Authentifizierung gegenüber anderen Quellen,
                        wie z.B. Datenbanken.
                    </para>
                </listitem>
            </itemizedlist>
        </para>

        <para>
            Es gibt ein paar nennenswerte Features von RFC-2617 die bis jetzt nicht implementiert
            wurden:
            <itemizedlist>
                <listitem>
                    <para>
                        Einstweilige Verfolgung, welche "stale" Support erlaubt und die
                        Unterstützung bei wiederholenden Attacken erhöht.
                    </para>
                </listitem>
                <listitem>
                    <para>
                        Authentifizierung mit Integritäts-Prüfung, oder "auth-int".
                    </para>
                </listitem>
                <listitem>
                    <para>
                        Authentifizierungs-Info HTTP Header.
                    </para>
                </listitem>
            </itemizedlist>
        </para>

    </sect2>

    <sect2 id="zend.auth.adapter.design_overview">

        <title>Design Übersicht</title>

        <para>
            Dieser Adapter besteht aus zwei Sub-Komponenten, die HTTP Authentifizierungs Klasse
            selbst, und den sogenannten "Auflöser". Die HTTP Authentifizierungs Klasse kapselt die
            Logik für die Ausführung beider, sowohl der Basis als auch der Digest Authentifizierung.
            Sie verwendet einen Auflöser um die Identität eines Klienten in Datenspeichern
            nachzusehen (standardmäßig eine Textdatei), und die Zeugnisse vom Datenspeicher zu
            empfangen. Die "aufgelösten" Zeugnisse werden dann mit den Werten verglichen die vom
            Klienten übermittelt wurden um zu eruieren ob die Authentifizierung erfolgreich war.
        </para>

    </sect2>

    <sect2 id="zend.auth.adapter.configuration_options">

        <title>Konfigurations Optionen</title>

        <para>
            Die <classname>Zend_Auth_Adapter_Http</classname> Klasse benötigt ein Konfigurations
            Array das Ihrem Konstruktor übergeben werden muß. Es sind verschiedene Konfigurations
            Optionen vorhanden, und einige davon werden benötigt:
            <table id="zend.auth.adapter.configuration_options.table">
                <title>Konfigurations Optionen</title>
                <tgroup cols="3">
                    <thead>
                        <row>
                            <entry>Options Name</entry>
                            <entry>Benötigt</entry>
                            <entry>Beschreibung</entry>
                        </row>
                    </thead>
                    <tbody>
                        <row>
                            <entry><code>accept_schemes</code></entry>
                            <entry>Ja</entry>
                            <entry>
                                Ermittelt welches Authentifizierungs Schema der Adapter vom Klienten
                                akzeptiert. Muß eine Leerzeichen-getrennte Liste sein, die
                                <code>'basic'</code> und/oder <code>'digest'</code> enthält.
                            </entry>
                        </row>
                        <row>
                            <entry><code>realm</code></entry>
                            <entry>Ja</entry>
                            <entry>
                                Setzt das Authentifizierungs-Bereich; Benutzernamen sollten im
                                angegebenen Bereich einmalig sein.
                            </entry>
                        </row>
                        <row>
                            <entry><code>digest_domains</code></entry>
                            <entry>
                                Ja, wenn <code>'accept_schemes'</code> <code>'digest'</code> enthält
                            </entry>
                            <entry>
                                Leerzeichen-getrennte Liste von URIs für die die gleichen
                                Authentifizierungs Informationen gültig sind. Die URIs müssen nicht
                                alle auf den gleichen Server zeigen.
                            </entry>
                        </row>
                        <row>
                            <entry><code>nonce_timeout</code></entry>
                            <entry>
                                Ja, wenn <code>'accept_schemes'</code> <code>'digest'</code> enthält
                            </entry>
                            <entry>
                                Setzt die Anzahl an Sekunden für die die Verfolgung gültig ist.
                                Siehe die Notizen anbei.
                            </entry>
                        </row>
                        <row>
                            <entry><code>proxy_auth</code></entry>
                            <entry>Nein</entry>
                            <entry>
                                Standardmäßig ausgeschaltet. Einschalten um Proxi Authentifizierung
                                durchzuführen statt normaler originaler Server Authentifizierung.
                            </entry>
                        </row>
                    </tbody>
                </tgroup>
            </table>
        </para>

        <note>
            <para>
                Die aktuelle Implementation von <code>nonce_timeout</code> hat einige interessante
                Nebeneffekte. Diese Einstellung soll die gültige Lebenszeit einer gegebenen
                Verfolgung ermitteln, oder effektiv, wie lange die Authentifizierungs Information
                eines Klienten akzeptiert wird. Aktuell ist es auf 3600 (zum Beispiel) gesetzt, und
                führt dazu das der Klient jede Stunde um neue Zeugnisse gebeten wird. Das wird in
                einem zukünftigen Release behoben werden, sobald Verfolgung und "stale" Support
                implementiert werden.
            </para>
        </note>

    </sect2>

    <sect2 id="zend.auth.adapter.http.resolvers">

        <title>Auflöser</title>

        <para>
            Der Job des Auflösers ist es einen Benutzernamen und einen Bereich, und gibt eine Art
            von Zeugnisswert zurück. Basis Authentifizierung erwartet einen Hash des Benutzernamens,
            des Bereichs, und dessen Passwörter (jedes seperiert durch ein Komma). Aktuell ist der
            einzige unterstützte Hash Algorithmus MD5.
        </para>

        <para>
            <classname>Zend_Auth_Adapter_Http</classname> ist darauf angewiesen das Objekte
            <classname>Zend_Auth_Adapter_Http_Resolver_Interface</classname> implementieren. Eine
            Textdatei Auflöser Klasse ist mit diesem Adapter inkludiert, aber jede Art von Auflöser
            kann einfach erstellt werden indem das Resolver Interface implementiert wird.
        </para>

        <sect3 id="zend.auth.adapter.http.resolvers.file">

            <title>Datei Auflöser</title>

            <para>
                Der Datei Auflöser ist eine sehr einfache Klasse. Sie hat eine einzelne Eigenschaft
                die einen Dateinamen spezifiziert, welcher auch dem Konstruktor übergeben werden
                kann. Ihre <code>resolve()</code> Methode geht durch die Textdatei, und sucht nach
                einer Zeile mit einem entsprechenden Benutzernamen und Bereich. Das Format der
                Textdatei ist ähnlich dem von Apache htpasswd Dateien:
                <programlisting><![CDATA[
<benutzername>:<bereich>:<zeugnisse>\n
]]></programlisting>
                Jede Zeile besteht aus drei Feldern - Benutzername, Bereich und Zeugnisse - jede
                abgeteilt durch einen Doppelpunkt. Das Zeugnis Feld ist für den Datei Auflöser nicht
                sichtbar; es gibt den Wert einfach, wie er ist, an den Aufrufer zurück. Deswegen
                kann dieses Dateiformat sowohl Basis als auch Digest Authentifizierung behandeln. In
                der Basis Authentifizierung sollte das Zeugnis Feld im Klartext stehen. In der
                Digest Authentifizierung sollte es der oben beschriebene MD5 Hash sein.
            </para>

            <para>
                Es gibt zwei gleiche einfache Wege um einen Datei Auflöser zu erstellen:
                <programlisting role="php"><![CDATA[
$path     = 'files/passwd.txt';
$resolver = new Zend_Auth_Adapter_Http_Resolver_File($path);
]]></programlisting>
                oder
                <programlisting role="php"><![CDATA[
$path     = 'files/passwd.txt';
$resolver = new Zend_Auth_Adapter_Http_Resolver_File();
$resolver->setFile($path);
]]></programlisting>
                Wenn der angegebene Pfad leer oder nicht lesbar ist, wird eine Ausnahme geworfen.
            </para>

        </sect3>

    </sect2>

    <sect2 id="zend.auth.adapter.http.basic_usage">

        <title>Grundsätzliche Verwendung</title>

        <para>
            Zuerst muß ein Array mit den benötigen Konfigurationswerten gesetzt werden:
            <programlisting role="php"><![CDATA[
$config = array(
    'accept_schemes' => 'basic digest',
    'realm'          => 'My Web Site',
    'digest_domains' => '/members_only /my_account',
    'nonce_timeout'  => 3600,
);
]]></programlisting>
            Dieses Array bringt den Adapter dazu entwedet Basis oder Digest Authentifizierung zu
            akzeptieren, und benötigt einen authentifizierten Zugriff auf alle Areale der Site unter
            <code>/members_only</code> und <code>/my_account</code>. Der Bereichs Wert wird
            normalerweise durch den Browser in der Passwort Dialog Box angezeigt.
            <code>nonce_timeout</code> verhält sich natürlich so wie oben beschrieben.
        </para>

        <para>
            Dann wird ein Zend_Auth_Adapter_Http Objekt erstellt:
            <programlisting role="php"><![CDATA[
$adapter = new Zend_Auth_Adapter_Http($config);
]]></programlisting>
        </para>

        <para>
            Da beides, Basis und Digest Authentifizierung, unterstützt werden, werden zwei
            unterschiedliche Auflösungs-Objekte benötigt. Man könnte das auch einfach durch die
            Verwendung von zwei unterschiedlichen Klassen bewerkstelligen:
            <programlisting role="php"><![CDATA[
$basicResolver = new Zend_Auth_Adapter_Http_Resolver_File();
$basicResolver->setFile('files/basicPasswd.txt');

$digestResolver = new Zend_Auth_Adapter_Http_Resolver_File();
$digestResolver->setFile('files/digestPasswd.txt');

$adapter->setBasicResolver($basicResolver);
$adapter->setDigestResolver($digestResolver);
]]></programlisting>
        </para>

        <para>
            Letztendlich führen wir die Authentifizierung durch. Der Adapter benötigt eine Referenz
            zu beidem, dem Anfrage und Antwort Objekten um seinen Job durchführen zu können:
            <programlisting role="php"><![CDATA[
assert($request instanceof Zend_Controller_Request_Http);
assert($response instanceof Zend_Controller_Response_Http);

$adapter->setRequest($request);
$adapter->setResponse($response);

$result = $adapter->authenticate();
if (!$result->isValid()) {
    // Schlechter Benutzername/Passwort, oder abgebrochener Passwort Prompt
}
]]></programlisting>
        </para>

    </sect2>

</sect1>
<!--
vim:se ts=4 sw=4 et:
-->