A veces, simplemente necesitamos restringir de forma sencilla el acceso a determinadas páginas. En este caso, la autnetificación por HTTP puede ser una solución eficaz que nos permite olvidarnos de control de sesiones o de cookies.

En muchas ocasiones, el control de acceso a determinadas páginas requiere bastante trabajo: manejo de sesiones, cookies… Sin embargo, PHP ofrece también la autentificación por HTTP.

La limitación de su uso viene dada por el tipo de instalación de PHP: este método sólo funcionará si PHP está instalado como mod de Apache, no como CGI (por lo tanto deberás probar antes si tu servidor lo soporta).

Las ventaja principal es su sencillez, ya que hemos preparado 2 archivos (uno con el script y otyro para configurar el documento de error) que puedes incluir directamente en todas las páginas que desees proteger utilizando simplemente un include() al archivo con el script. En el mismo, los nombres de usuario y sus contraseñas están insertados directamente, pero podría utilizarse una base de datos para obtenerlos. Sin embargo, nuestro objetivo es que fuera fácilmente configurable, comprensible y sencillo de utilizar para restricciones simples.

Al utilizarlo, el navegador mostrará una ventana de prompt solicitando el nombre de usuario y contraseña al entrar en una página restringida:

Una vez validado, el acceso a todos los documentos que incluyan la llamada al script será activado mientras la ventana del navegador permanezca abierta, sin necesidad de preocuparse de nada más. Cuando la ventana se cierre, lo hará también la sesión y se borrarán los documentos de la caché del navegador.

Este es el código del archivo a incluir, ‘php_auth.php’:

//------– INICIO PERSONALIZACION----------
//lista de usuarios: "nombre"=>"password"
$usuarios=array("tecno"=>"hola","esmmug"=>"adios"); 
//mensaje para mostrar en el prompt
$mensaje="Mi Sitio Web";
//texto a mostrar si falla el login. Se acepta html
$denegado="Acceso no autorizado";
//------– FIN PERSONALIZACION---------–
$login_status=false;
foreach($usuarios as $key=>$value){
  if($_SERVER['PHP_AUTH_USER'] == $key && $_SERVER['PHP_AUTH_PW'] == $value){
    $login_status=true;
    break;
  }
}
if ((!isset($_SERVER['PHP_AUTH_USER']))||($login_status==false)) {
  header("WWW-Authenticate: Basic realm=\"".$mensaje."\"");
  header("HTTP/1.0 401 Unauthorized");
  echo $denegado;
  exit;
}
 

Para su configuración, sólo es necesario modificar las variables en el archivo http_auth.php:

• $usuarios: Es un array con la siguiente estructura: “nombreUsuario”=>”contraseña”.
• $mensaje: el texto a mostrar en la ventana de prompt. En la imagen superior es “Zona Restringida para Usuarios”.;

El segundo documento, ‘denegado,htm’ es simplemente un documento html para que podáis configurar la apariencia de los mensajes de error al fallar el login de usuario.

Podeis ver un ejemplo aquí (usuario: esmmug / password: esmmug)

También existe un archivo listo para su uso:
http://www.esmmug.com/archivos/descargar.php?archivo=autentificacion_http.zip