AUTH_USER 和 REMOTE_USER cgi 变量之间的区别

Question

文档对此并不完全清楚 - 这些变量之间有区别吗？ 至少在 IIS 上它们看起来是相同的，但如果在其他服务器下可能有所不同，我不想依赖这一点。

Answer 1

根据 Adob​​e ColdFusion 文档，它们是相同的。

http://livedocs.adobe.com/coldfusion/8 /htmldocs/help.html?content=Expressions_8.html

查看openbd源代码，remote_user和auth_user映射到相同的键，因此返回相同的值。

查看railo源代码，我不太明白发生了什么，但它似乎正在设置remote_user，并且我不确定是否在任何地方设置了auth_user。

如果您正在设计一个与 Coldfusion、railo 和 openbd 兼容的应用程序，那么使用 remote_user 似乎更安全。 也许其他人可以发表评论，因为我没有完全理解代码而没有花时间深入调查。

Answer 2

REMOTE_USER 和 AUTH_USER 在 Adob​​eCF/IIS 中相同，但在 Adob​​eCF/Apache 上不同。 使用 Adob​​eCF/Apache 时，AUTH_USER 将为空。

因此最好使用 REMOTE_USER 变量进行编码。 如果您发现自己正在处理在 Apache 中引用 AUTH_USER 的代码，那么有一种方法可以让 Apache 使用 mod_rewrite 填充该变量。 这将导致 Apache 将 REMOTE_USER 复制到 AUTH_USER:

RewriteEngine on
RewriteCond %{REMOTE_USER} (.)
RewriteRule . - [E=AUTH_USER:%1]

这里有更多信息：http://www.stillnetstudios.com/copying-env-variables-in-apache/

Answer 3

我相当确定 REMOTE_USER 是标准 CGI 变量。

根据此页面，它们是相同的：
http://livedocs.adobe.com/coldfusion/6/CFML_Reference/Expressions5。嗯

Answer 4

为了安全起见，请坚持使用 REMOTE_USER，因为它是 CGI/1.0 规范中定义的（可在此处找到 http://www.ietf.org/rfc/rfc3875）

AUTH_USER 似乎随着时间的推移而潜入

Answer 5

根据我的经验，CGI 变量在 Web 服务器（Apache、IIS、JRun 等）之间、甚至在它们的版本之间往往会有所不同。 当基于 CGI 变量时，唯一安全的选择是检查您的开发、阶段、生产（等）服务器上显示的值。