Q&A
>ベーシック認証のページにアクセスできる時点で管理者なのでは?
そうです。しかし管理者ではない人も「ベーシック認証のページで実行するJavaScript(質問にあるAjax)」は実行できるのです。
>もしくはベーシック認証はやめてセッションでの処理に切り替えるのが妥当かと
前提に記載の通りで、ベーシック認証での方法を模索しているのが現状です。
実現したいこと
・管理画面とユーザー画面で、取得内容を変えたいです。
前提
・コメント取得処理を実装中です。
・管理画面はベーシック認証で簡単なものを作りました。
発生している問題
・Ajaxの場合に管理画面からのPOSTか否かの判定ができません。
該当のソースコード
PHPで以下 IS_ADMIN のような判定をしたいのです。
PHP
1<?php 2// get_comments.php 3function get_comments(){ 4 5 // ベーシック認証を突破済みの 6 // 管理画面からのAjaxでなければ 7 // is_official = 1 のみ取得 8 // ということをやりたい 9 $WHERE = 'WHERE user_id = :user_id'; 10 if ( !IS_ADMIN ) { 11 $WHERE .= 'AND is_official = 1'; 12 } 13 14 $db = new PDO('DSN', 'USER', 'PASSWORD'); 15 $user_id = filter_input(INPUT_POST, 'user_id', FILTER_VALIDATE_INT); 16 $sql = "SELECT * FROM comments {$WHERE} LIMIT 0, 20;"; 17 $stmt = $db->prepare($sql); 18 $stmt->bindValue(':user_id', $user_id, PDO::PARAM_STR); 19 $stmt->execute(); 20 echo json_encode( $stmt->fetchAll() ); 21}
JavaScript側は普通に以下の感じです。
JavaScript
1$.ajax({ 2 "url" : "https://example.com/get_comments.php", 3 "type" : "post", 4 "dataType": "json", 5 "data" : {"user_id": 1} 6}).done(function(response){ 7 console.log(response); 8});
試したこと
まず、dataにis_admin_ajaxを持たせました。
しかし、これでは管理画面に関わらずPOSTできてしまうらしく、断念致しました…。
JavaScript
1$.ajax({ 2 "url" : "https://example.com/get_comments.php", 3 "type" : "post", 4 "dataType": "json", 5 // is_admin_ajaxを持たせた 6 "data" : {"user_id": 1, "is_admin_ajax": "true"} 7}).done(function(response){ 8 console.log(response); 9});
次に、上記is_admin_ajaxに加えて「ベーシック認証を突破済みである」を混ぜたらどうかと思い、PHP側で以下実装しました。
しかし、$_SERVER['PHP_AUTH_USER']がAjaxの際に取得できないため(つまり以下IS_ADMINは常にfalseとなるため)、こちらも断念することとなりました…。
PHP
1// 管理画面を判定 2define('IS_ADMIN', (function(){ 3 return ( 4 // 管理画面への訪問時である場合 5 str_starts_with($_SERVER["PHP_SELF"], '/admin') 6 // 管理画面からのAjaxである場合 7 || ( 8 // ベーシック認証を突破済みである 9 isset($_SERVER['PHP_AUTH_USER']) 10 // is_admin_ajax である 11 && filter_input(INPUT_POST, 'is_admin_ajax') === 'true' 12 ) 13 ); 14})());
補足情報(FW/ツールのバージョンなど)
セッションと使うとできるのか?と思いましたが、具体的な流れがつかめずこれも苦慮しています。
PHP のバージョンは 8.1 になります。
宜しくお願い致します。
回答2件
0
自己解決
特にhoshi-takanori様ありがとうございます。
以下の通りで実現できました。
Basic認証外ファイル: user-ajax.php, get_comments.php
Basic認証ディレクトリ: admin
Basic認証内ファイル: admin-ajax.php
一般ユーザーからのAjaxではuser-ajax.phpにアクセスし、そこでget_comments.phpをrequireすることでIS_ADMINでないことを判定
管理画面からのAjaxではadmin-ajax.phpにアクセスし、そこでget_comments.phpをrequireすることでIS_ADMINであることを判定
みなさま、ご回答、コメントありがとうございます。
投稿2023/02/12 04:57
総合スコア22
0
おっしゃる意味がよくわからないのですが、ベーシック認証のページにアクセスできる時点で管理者なのでは?
もしくはベーシック認証はやめてセッションでの処理に切り替えるのが妥当かと
■ 整理
→前提
Basic認証外ファイル:xxx.php
Basic認証ディレクトリ:yyy
Basic認証内ファイル:zzz.php
・yyyへはBasic認証した管理者のみアクセスできる=zzz.phpには一般ユーザーはアクセスできない
■なにをしたいのか?
(1)xxx.phpが自分がBasic認証済みか調べたい
zzz.phpにfetchで接続してエラーなら未認証、そうでないなら認証済み
※yyy内の全てのファイルがBasic認証対象なのでなにか一つでもエラーなしで接続できれば認証済み
(2)zzz.php内で自分が認証済みか調べたい
そもぞもzzz.phpに接続できている時点で認証済みなのでチェック不要
ほかにどういうパターンを想定しているのでしょうか?
投稿2023/02/10 07:42
編集2023/02/10 10:15
総合スコア117674
> ベーシック認証のページで実行するJavaScript
をベーシック認証のフォルダに入れてしまえばよいのでは?
それでは一般ユーザーが実行できません。
ではベーシック認証フォルダのファイル(ダミーでOK)を一つfetchでアクセスしてエラーを検知すればよいのでは?
> しかし管理者ではない人も「ベーシック認証のページで実行するJavaScript(質問にあるAjax)」は実行できるのです。
POSTを送信することはできたとして、正しくサーバサイドを実装していれば無関係なアクセスは「401 Unauthorizedになる」だけで特に問題ない、のではないでしょうか?
いえ、管理者ではない一般ユーザーも401にはしません。彼らもget_comments.phpは実行できます。質問はget_comments.php内で判定し分岐したいという話です。
追記しましたが、何がどう問題なのか整理して説明してください。
現状すでに回答した内容で解決していると思いますが?
一般ユーザー(未認証)がエラーにならないBasic認証なんてないはずですが?
>■なにをしたいのか?
>(1)xxx.phpが自分がBasic認証済みか調べたい
これがしたいです。しかし「fetchで接続」とは一体どういうことでしょうか?
有体に申し上げれば「fetchで接続」しても実現できませんよね?という含意です。
たぶん「質問の$.ajax()の前にyyyに接続すれば、ベーシック認証を通っているか否かが判定できるので、その判定値を$.ajax()のdataに渡せばいい」と仰っているのだと思いますが、$.ajax()はその判定値を書き換えて実行できます。
Basic認証フォルダ内のphpファイルとフォルダ外のphpファイルで二個置いておくとか
前者が管理者用
それは避けたいく思っています。get_comments() はかなり長いコードなので、分岐の点だけを変えた別ファイルを作りたくはないのです。なので「AjaxによるPOSTに対し、「ベーシック認証を突破済みである」を判定する方法」という質問になっています。get_comments() 内で判定し分岐したいのです。
横から失礼します。
> get_comments() はかなり長いコードなので、分岐の点だけを変えた別ファイルを作りたくはないのです。
get_comments() を別のファイルにして、xxx.php や zzz.php から読み込んで使えば良いのでは…。
>get_comments() を別のファイルにして、xxx.php や zzz.php から読み込んで使えば良いのでは…。
その通りでした。どうもありがとうございます。
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。