Header("HTTP/1.0 401 Unauthorized")が何をしているかわからない

PHPの認証機能について学習しています。
Header("HTTP/1.0 401 Unauthorized");の存在意味がわからないので教えてもらえないでしょうか。
上記はあってもなくても同じ動作にりました。
Header("WWW-authenticate: basic realm="$realm"");はBasic認証ポップアップを表示させるというhttpレスポンスを作成しているという理解です。
Header("HTTP/1.0 401 Unauthorized");は認証が失敗した場合に使うものだと思っているのですが、
(1)(←コード内のコメント参照)で認証失敗としてヘッダを作成している理由もわかりません。

php
1<?php 
2$user = 'user';
3$pass = 'pass';
4$realm='認証しましょう';
5
6if (!isset($PHP_AUTH_USER)) { 
7  Header("WWW-authenticate: basic realm=\"$realm\""); //Basic認証ポップアップを表示させるヘッダ
8  Header("HTTP/1.0 401 Unauthorized"); //??(1)
9  print("認証に失敗しました。"); 
10}else if($PHP_AUTH_USER != $user || $PHP_AUTH_PW != $pass){ 
11  Header("WWW-authenticate: basic realm=\"$realm\""); 
12  Header("HTTP/1.0 401 Unauthorized"); //??(2)
13  print "認証に失敗しました"; 
14}else { 
15  print "認証完了"; 
16} 
17?>

どうぞよろしくお願いいたします。

行動規範の内容に同意します

回答2件

ベストアンサー

ここだけで考えちゃダメだね。この前に処理が存在する。

まず、グローバル変数として事前に$PHP_AUTH_USERが設定されてなかったら、そもそも認証ができないので認証エラーなので拒否。

もし、グローバル変数として事前に設定された$PHP_AUTH_USERと$PHP_AUTH_PWが、今回の$user、$passと違う値なら、認証エラーなので拒否。

そうでなければ、通過。ステータスは200

って処理だね。

header()使ってる意味としては、上記の結果をブラウザに告知するため。

投稿2018/07/21 07:34

退会済みユーザー

総合スコア0

awa

2018/07/21 07:46

ご回答ありがとうございます。グローバル変数として$PHP_AUTH_USERが設定されていなければ認証できていないことになるため(1)にも Header("HTTP/1.0 401 Unauthorized");が必要ということが理解できました。ただ、 Header("HTTP/1.0 401 Unauthorized");を消しても同じ動作になることから、これがどういう働きをしているのかがわかりません。どういう存在意味があるのでしょうか。

退会済みユーザー

2018/07/21 07:54

同じ動作にはなってないよ。HTTPステータスが200で、正常通信完了状態になっちゃってるはず。

退会済みユーザー

2018/07/21 07:55

そうなると、このアプリはIDパスワードが間違ってても何も起こらないことが正常なアプリでーす、って宣言することになる。

退会済みユーザー

2018/07/21 07:55

401は、認証が必要な場合に認証エラーが発生しましたーってエラーステータスコード。

退会済みユーザー

2018/07/21 08:00

なんだろな。jQuerのajax()とか使ったことあると話早いんだけどな。