Программная авторизация в Bitrix: способы реализации

Раздел: Работа с CMS Bitrix -> Аутентификация и авторизация в CMS

Варианты авторизации в Bitrix PHP

Как выполнить вход пользователя по логину и паролю с помощью стандартного метода?

Основной способ программной авторизации в Bitrix - использование метода CUser::Login. Он принимает массив с полями LOGIN, PASSWORD и (при необходимости) REMEMBER.


use Bitrix\Main\Context;

$arAuthResult = CUser::Login([
    'LOGIN' => 'user@example.com',
    'PASSWORD' => 'secret_pass',
    'REMEMBER' => 'Y',
]);

if ($arAuthResult === true) {
    echo 'Авторизация прошла успешно';
} else {
    // $arAuthResult - объект ошибки
    echo 'Ошибка: ' . $arAuthResult->GetString();
}

Метод возвращает true при успехе или объект типа CAdminException при ошибке. Важно проверять результат строго на true, так как пустой массив или null могут быть ошибочно интерпретированы.

Типичная ошибка:

Неверно указан логин или пароль - метод возвращает объект ошибки с кодом WRONG_LOGIN или WRONG_PASSWORD. Также возможна блокировка пользователя из-за превышения числа попыток входа.

Решение: перед вызовом проверять активность пользователя и сбрасывать счетчик попыток через CUser::ResetLoginAttempts.

Цель использования: стандартная аутентификация на сайте, например, при создании формы входа.

Как авторизовать пользователя без проверки пароля (например, после регистрации)?

Метод CUser::Authorize позволяет выполнить вход по ID пользователя, не требуя пароля. Это полезно в сценариях автоматической авторизации после успешной регистрации или восстановления пароля.


$userId = 123;
$arResult = CUser::Authorize($userId);
if ($arResult) {
    echo 'Пользователь авторизован';
} else {
    echo 'Не удалось авторизовать';
}

Важно: метод не проверяет, активен ли пользователь. Рекомендуется предварительно запросить запись через CUser::GetByID и убедиться, что ACTIVE = 'Y'.

Проблема: сессия не создаётся

Если вызов происходит внутри REST-обработчика или в CLI, необходимо предварительно инициализировать ядро Bitrix и запустить сессию.

Решение: для REST используйте CHTTP::SetAuthHeaders() или обращайтесь через Bitrix\Main\Application::getInstance()->getKernelSession().

Случай использования: автологин после подтверждения email при регистрации.

Как авторизовать через REST API с передачей токена?

Для внешних интеграций используется OAuth 2.0 и метод \Bitrix\Rest\OAuthService::getClient(). Полученный токен передаётся в заголовке Authorization: Bearer. В Bitrix есть встроенная поддержка авторизации через REST-приложения.


// Пример установки контекста авторизации через REST
$httpClient = new \Bitrix\Main\Web\HttpClient();
$httpClient->setHeader('Authorization', 'Bearer ' . $accessToken);
$response = $httpClient->get('https://your-site.bitrix24.ru/rest/1/user.current.json');

На стороне сервера Bitrix автоматически распознаёт токен и авторизует пользователя, если токен действителен.

Ошибка: токен просрочен или невалиден

В ответе приходит статус 401. Необходимо обновить токен через механизм refresh_token, предоставляемый REST-приложением.

Цель: интеграция мобильных приложений, внешних систем с коробочным Bitrix24.

Как настроить авторизацию через социальные сети (OAuth внешних провайдеров)?

Bitrix поддерживает модуль «Социальные сервисы». Программная авторизация выполняется через класс CSocServAuthManager. Пользователь направляется на URL провайдера, после редиректа проверяется callback.


$authManager = new CSocServAuthManager();
$arAuthResult = $authManager->Authorize('Facebook', [
    'BACKURL' => '/',
]);
if ($arAuthResult['RESULT'] === true) {
    echo 'Авторизация через Facebook успешна';
}

Для корректной работы требуется предварительная настройка приложений в соцсети и в административном разделе Битрикса.

Проблема: не передан код авторизации от провайдера

Проверьте, что в настройках модуля указаны правильные ID приложения и секретный ключ. В callback-обработчике используйте \Bitrix\Main\Application::getInstance()->getContext()->getRequest() для получения параметров.

Случай использования: предоставление пользователям возможности входа через аккаунты Google, Facebook, VK.

Как выполнить авторизацию с поддержкой LDAP или Active Directory?

Bitrix имеет модуль «LDAP». Авторизация происходит автоматически при вызове CUser::Login, если LDAP-сервер настроен. Процесс прозрачен: пароль проверяется на LDAP-сервере, при успехе создается или обновляется локальная запись пользователя.


// Код не отличается от стандартной авторизации
// Всё управление через настройки модуля LDAP в административной панели

Программно можно принудительно синхронизировать пользователя через \Bitrix\Ldap\UserTable::syncUser().

Ошибка: неверный пароль, хотя в LDAP пароль корректен

Проверьте, что модуль LDAP активен, сервер доступен, и используется корректный фильтр для поиска пользователей. Типичная причина - несоответствие атрибутов LOGIN_ATTRIBUTE.

Цель: корпоративные порталы с единой точкой входа.

Расширенные примеры авторизации в Bitrix PHP

Пример 1: Полный обработчик формы входа с проверкой CSRF и обработкой ошибок

Пример 

use Bitrix\Main\Context;
use Bitrix\Main\Security\Sign\Signer;

if ($_SERVER['REQUEST_METHOD'] === 'POST') {
    $request = Context::getCurrent()->getRequest();
    
    // Проверка CSRF-токена
    $csrfToken = $request->getPost('csrf');
    $signer = new Signer();
    try {
        $signer->unsign($csrfToken, 'login_form');
    } catch (\Exception $e) {
        die('CSRF проверка не пройдена');
    }

    $login = $request->getPost('login');
    $password = $request->getPost('password');
    $remember = $request->getPost('remember') === 'Y' ? 'Y' : 'N';

    $arAuthResult = CUser::Login([
        'LOGIN' => $login,
        'PASSWORD' => $password,
        'REMEMBER' => $remember,
    ]);

    if ($arAuthResult === true) {
        header('Location: /personal/');
        exit;
    } else {
        $errorMsg = $arAuthResult->GetMessages();
        echo 'Ошибка: ' . implode(', ', array_column($errorMsg, 'MESSAGE'));
    }
}
?>
<form method="post">
    <input type="hidden" name="csrf" value="<?= (new Signer())->sign('login_form', 'login_form') ?>">
    <input type="text" name="login" placeholder="Логин">
    <input type="password" name="password" placeholder="Пароль">
    <label><input type="checkbox" name="remember" value="Y"> Запомнить</label>
    <button type="submit">Войти</button>
</form>

При успешной авторизации происходит редирект. При ошибке выводится сообщение, например "Неверный пароль".

Пример 2: Авторизация по ID через консольную команду (CLI)

Пример 

// Файл /local/php_interface/migrate.php (вызов из консоли)
$_SERVER['DOCUMENT_ROOT'] = __DIR__ . '/../../';
require($_SERVER['DOCUMENT_ROOT'] . '/bitrix/modules/main/include/prolog_before.php');

$userId = 1; // ID администратора
$res = CUser::GetByID($userId);
$arUser = $res->Fetch();
if (!$arUser || $arUser['ACTIVE'] !== 'Y') {
    echo "Пользователь не активен\n";
    exit(1);
}

$result = CUser::Authorize($userId);
if ($result) {
    echo "Авторизация успешна, сессия #" . session_id() . "\n";
} else {
    echo "Ошибка авторизации\n";
}

Вывод: "Авторизация успешна, сессия #abc123..."

Пример 3: Авторизация через HTTP Basic Auth для REST сервиса

Пример 

// Файл /rest/custom.php
use Bitrix\Main\Context;
use Bitrix\Main\Web\HttpRequest;

$request = Context::getCurrent()->getRequest();
$authHeader = $request->getServer()->get('HTTP_AUTHORIZATION');

if (!$authHeader) {
    header('WWW-Authenticate: Basic realm="API"');
    header('HTTP/1.0 401 Unauthorized');
    echo json_encode(['error' => 'Требуется авторизация']);
    exit;
}

list($type, $credentials) = explode(' ', $authHeader);
$decoded = base64_decode($credentials);
list($login, $password) = explode(':', $decoded);

$arAuthResult = CUser::Login([
    'LOGIN' => $login,
    'PASSWORD' => $password,
]);

if ($arAuthResult === true) {
    $userId = $GLOBALS['USER']->GetID();
    echo json_encode(['success' => true, 'user_id' => $userId]);
} else {
    header('HTTP/1.0 401 Unauthorized');
    echo json_encode(['error' => 'Неверные учетные данные']);
}

Ответ при успехе: {"success":true,"user_id":1}
Ответ при ошибке: {"error":"Неверные учетные данные"} (статус 401)

Пример 4: Авторизация через внешний OAuth провайдер (вручную)

Пример 

// Предполагается, что есть полученный от провайдера access_token
$accessToken = 'ya29.xxxxx';

// Получаем данные пользователя через API провайдера (например, Google)
$http = new \Bitrix\Main\Web\HttpClient();
$http->setHeader('Authorization', 'Bearer ' . $accessToken);
$response = $http->get('https://www.googleapis.com/oauth2/v2/userinfo');
$userData = json_decode($response, true);

if (!$userData['email']) {
    die('Не удалось получить email');
}

// Ищем пользователя Bitrix по email
$filter = ['EMAIL' => $userData['email']];
$rsUser = CUser::GetList($by, $order, $filter);
if ($arUser = $rsUser->Fetch()) {
    CUser::Authorize($arUser['ID']);
    echo 'Авторизован как ' . $arUser['LOGIN'];
} else {
    // Создаём нового пользователя
    $newUser = new CUser;
    $fields = [
        'LOGIN' => $userData['email'],
        'EMAIL' => $userData['email'],
        'NAME' => $userData['name'],
        'PASSWORD' => bin2hex(random_bytes(16)), // случайный пароль
        'CONFIRM_PASSWORD' => bin2hex(random_bytes(16)),
        'ACTIVE' => 'Y',
    ];
    $userId = $newUser->Add($fields);
    if ($userId) {
        CUser::Authorize($userId);
        echo 'Новый пользователь создан и авторизован';
    } else {
        echo 'Ошибка создания: ' . $newUser->LAST_ERROR;
    }
}

Вывод: "Авторизован как user@example.com" или "Новый пользователь создан и авторизован"
Авторизация в Bitrix PHP

Авторизация в Bitrix PHP - comments

En
Bitrix authorize php (php)