php - 使用 cURL 对不同主机上当前用户的 PHP NTLM 身份验证失败
问题描述
我在本地网络上的一台服务器上使用 PHP 7.1.7 和 cURL 7.54.1,由于开发要求,我必须能够访问存储在另一台本地网络服务器(PHP 4.3 或类似服务器上的文件) )。由于我系统中其他一些组件的版本要求,我必须将脚本保存在较新的服务器上,并将其访问的文件保存在较旧的服务器上。我使用以下设置将当前 NTLM 用户凭据从该脚本所在的源服务器传递到目标服务器 - 它应该可以工作,但不知何故它没有:
function file_get_contents_curl($url) {
$curl = curl_init();
curl_setopt($curl, CURLOPT_URL, $url);
curl_setopt($curl, CURLOPT_RETURNTRANSFER, 1);
curl_setopt($curl, CURLOPT_HTTPAUTH, CURLAUTH_NTLM);
curl_setopt($curl, CURLOPT_UNRESTRICTED_AUTH, TRUE);
curl_setopt($curl, CURLOPT_USERPWD, ":");
$data = curl_exec($curl);
curl_close($curl);
return $data;
}
header("Pragma: public");
header("Expires: -1");
header("Cache-Control: public, must-revalidate, post-check=0, pre-check=0");
header('Content-Type: '.get_mime_type($fileresult['filename']));
header('Content-Disposition: attachment; filename="'.$fileresult['originalname'].'"');
$contents = file_get_contents_curl($path);
$localSize = strlen($contents);
header('Content-Length: ' . $localSize);
echo $contents;
ob_flush();
flush();
exit();
当我明确指定我的
curl_setopt($curl, CURLOPT_USERPWD, "[用户名]:[密码]");
,它完美地工作,但是当尝试重新使用现有的用户凭据时 - 它失败了。作为管理员,我不想将我的凭据作为纯文本保留在代码中——这是公然违反安全的行为,并且创建具有这些文件访问权限的虚拟用户配置文件会阻止正确记录旧服务器上的实际用户活动——这本身就是一个安全问题。
我发现这个错误报告https://bugs.php.net/bug.php?id=62195是针对同一个问题的,但它与完全不同的 PHP 版本(5.4.3)有关,我确实考虑到了那里有开发人员的评论 - 仍然没有用。
是否有任何我忘记正确设置以使其正常工作的 curl_setopt 设置?也许 IIS 服务器可能需要进行某些配置更改以允许 PHP 在 cURL 请求中重新使用这些凭据?或者它应该像现在这样工作,我的下一步是向 php.net 提交错误报告?
感谢你的帮助!
编辑:
无论我使用上面的代码(使用继承的用户名和密码)请求哪个文件,脚本都会返回一个 1.3k 的文件,该文件具有预期的文件名和扩展名(.PDF、.PNG 或任何其他文件),但包含以下内容:
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1"/>
<title>401 - Unauthorized: Access is denied due to invalid credentials.</title>
<style type="text/css">
<!--
body{margin:0;font-size:.7em;font-family:Verdana, Arial, Helvetica, sans-serif;background:#EEEEEE;}
fieldset{padding:0 15px 10px 15px;}
h1{font-size:2.4em;margin:0;color:#FFF;}
h2{font-size:1.7em;margin:0;color:#CC0000;}
h3{font-size:1.2em;margin:10px 0 0 0;color:#000000;}
#header{width:96%;margin:0 0 0 0;padding:6px 2% 6px 2%;font-family:"trebuchet MS", Verdana, sans-serif;color:#FFF;
background-color:#555555;}
#content{margin:0 0 0 2%;position:relative;}
.content-container{background:#FFF;width:96%;margin-top:8px;padding:10px;position:relative;}
-->
</style>
</head>
<body>
<div id="header"><h1>Server Error</h1></div>
<div id="content">
<div class="content-container"><fieldset>
<h2>401 - Unauthorized: Access is denied due to invalid credentials.</h2>
<h3>You do not have permission to view this directory or page using the credentials that you supplied.</h3>
</fieldset></div>
</div>
</body>
</html>
cURL 没有返回错误 - 据它说一切都很好。当我明确指定用户名和密码时,所有返回的文件都有自己预期的唯一大小和内容。
解决方案
它应该工作,但不知何故它没有
不,它不应该适用于不同的服务器,如评论中所述。
为了避免进行两次身份验证,这可能有点难以实现,并且对于最终用户来说是不可取的,我有以下想法。
也许您可以仅依靠在第二台服务器(PHP 4)上进行身份验证,第一台服务器(PHP 7)未配置为询问凭据,而是将 NTLM 消息转发到第二台服务器,然后在它知道时启动会话(cookie)用户终于成功认证了。一个副作用是所有新会话都将从将请求转发到第二台服务器开始。也许你可以在 PHP 中完成所有这些,但我自己没有尝试过,不幸的是它花费了太多时间。
推荐阅读
- bash - 如何比较两个脚本的内容
- javascript - JavaScript:如何获得没有时区的简单日期
- elasticsearch - ElasticSearch High Level Rest Client 搜索具有多个值的单个字段
- acumatica - 使用 IEnumerable 函数向数据视图添加过滤器
- python - spark/pyspark 与 HBase 的集成
- javascript - 根据滑块滑翔机js中的活动li值更改css值
- jquery - Fullcalendar v2.6.0 能否在 jQuery-3.3.1 和 MVC 5 上运行?
- r - 无法使用 R 抓取 Fitch Ratings 的网站
- java - 没有为 SQL 参数提供值,添加了“]”
- excel - 如果列 E 更改,则尝试从列 F 复制单元格,仅当列 F > 0