php实现域名授权

PHP 实现域名授权的方法

获取当前访问域名

使用 $_SERVER['HTTP_HOST'] 或 $_SERVER['SERVER_NAME'] 获取当前访问的域名。建议优先使用 HTTP_HOST，因为它能正确反映客户端请求的域名。

$current_domain = $_SERVER['HTTP_HOST'];

定义授权域名列表

将允许访问的域名存储在数组中，便于后续验证。

$allowed_domains = [
    'example.com',
    'sub.example.com',
    'another-domain.com'
];

域名验证逻辑

检查当前域名是否在授权列表中。可以使用 in_array 进行简单验证。

if (!in_array($current_domain, $allowed_domains)) {
    header('HTTP/1.1 403 Forbidden');
    exit('Access denied: Unauthorized domain');
}

支持通配符子域名

如果需要支持类似 *.example.com 的通配符匹配，可以使用正则表达式。

$is_allowed = false;
foreach ($allowed_domains as $pattern) {
    if (fnmatch($pattern, $current_domain)) {
        $is_allowed = true;
        break;
    }
}

增强安全性

考虑将授权域名存储在数据库或配置文件中，避免硬编码。同时可以添加 IP 验证等其他安全层。

$config = parse_ini_file('config.ini', true);
$allowed_domains = $config['security']['allowed_domains'];

完整示例代码

以下是一个结合上述方法的完整实现示例：

<?php
// 获取当前域名
$current_domain = $_SERVER['HTTP_HOST'];

// 授权域名列表（可从数据库或配置文件加载）
$allowed_domains = [
    'example.com',
    '*.example.com',
    'trusted-site.net'
];

// 验证逻辑
$access_granted = false;
foreach ($allowed_domains as $pattern) {
    if (fnmatch($pattern, $current_domain)) {
        $access_granted = true;
        break;
    }
}

// 处理未授权访问
if (!$access_granted) {
    http_response_code(403);
    die("Unauthorized domain access: $current_domain");
}

// 授权通过后的正常业务逻辑
echo "Welcome from $current_domain";
?>

注意事项

• 确保服务器正确配置，防止 HTTP_HOST 被伪造
• 在生产环境中，建议结合 SSL/TLS 使用
• 定期审核授权域名列表
• 考虑实现域名授权的缓存机制以提高性能