PHP如何实现HTTP身份验证？

您有几个选项。
1- 基本认证 - 当用户发送请求时，Apache会检查htaccess文件，当设置了基本认证时，它会返回一个身份验证头（当没有发送登录信息时）。Web浏览器对此做出反应并提供本地登录屏幕。该屏幕得到所有浏览器和密码记忆工具的良好支持。在输入凭据时，下一次发送的请求将每次发送凭据（未加密），因此Apache不会每次提供登录屏幕。您可以在这里阅读更多相关信息。
如何设置它，请创建.htaccess文件：

AuthName "Protected"
AuthType Basic
AuthUserFile securepath/.htpasswd
Require user authuser

在命令行中创建 .htpasswd 文件：

$ adduser authuser
$ passwd authuser
$ htpasswd  -c securepath/.htpasswd  authuser

但是许多控制面板都有工具，可以使用界面来设置这一点。
2-自己的系统-您可以编写自己的身份验证系统，在您的代码中验证用户是否获得授权。您可以构建一个登录屏幕，在该屏幕上，用户被授权后会获得代表用户在您服务器上的 cookie。但是，cookie本身是未加密的，可以被他人读取。
后者为您提供了让用户更容易拥有不同密码的选项。而且密码不是每次都发送，只发送 cookie。
出于安全考虑，我建议使用 SSL/HTTPS 连接，其中所有内容都是加密的。

您可以使用基本身份验证（这可能是最容易设置的）来限制对整个文件夹的访问。 这相当直截了当。
您需要的第一件事是您的.htaccess文件。 该文件需要驻留在您要限制访问的文件夹内。 例如/restrict/.htaccess 这个.htaccess文件需要有

#set up basic authentication
AuthType Basic
#provide password verification file
AuthUserFile /PATH_TO_HTPASSWD_FILE/.htpasswd
#set user names as "require user *******"
require user my_username

然后在你的.htpasswd文件中，你可以像这样验证你的用户名/密码：

my_username:$1$jeTmJQpY$gKrWlJqL6dCCSX62Hspfp0

验证通过"用户名:密码" <<冒号分隔，密码可以以各种方式存储（crypt，明文，sha1，md5）。在上面的例子中，我选择了密码"password"并使用crypt作为输出。

强烈建议不要将.htpasswd文件存储在同一目录中。

• 您需要配置服务器，在将请求传递给PHP之前执行身份验证 或者
• 编写PHP代码，检查提交的凭据并返回适当的HTTP标头以请求它们（如果缺少或错误）

我需要一个.htaccess文件吗？

只有在使用上述第一种方法时才需要。即使如此，最好将配置放在主服务器配置中（更有效率）。

重定向到一个php文件

如果选择第二种方法，通常会在每个需要身份验证的页面顶部include您的身份验证代码。（对于简单的方法，MVC方法往往有更模块化的方式来处理事情）。