PHP中对用户身份认证实现两种方法


Posted in PHP onJune 04, 2011

当访问者浏览受保护页面时,客户端浏览器会弹出对话窗口要求用户输入用户名和密码,对用户的身份进行验证,以决定用户是否有权访问页面。下面用两种方法来说明其实现原理。

一、用HTTP标头来实现

标头是服务器以HTTP协议传送HTML信息到浏览器前所送出的字串。HTTP采用一种挑战/响应模式对试图进入受密码保护区域的用户进行身份验证。具体来说,当用户首次向WEB服务器发出访问受保护区域的请求时,挑战进程被启动,服务器返回特殊的401标头,表明该用户身份未经验证。客户端浏览器在检测到上述响应之后自动弹出对话框,要求用户输入用户名和密码。用户完成输入之后点击确定,其身份识别信息就被传送到服务端进行验证。如果用户输入的用户名和密码有效,WEB服务器将允许用户进入受保护区域,并且在整个访问过程中保持其身份的有效性。相反,若用户输入的用户名称或密码无法通过验证,客户端浏览器会不断弹出输入窗口要求用户再次尝试输入正确的信息。整个过程将一直持续到用户输入正确的信息位置,也可以设定允许用户进行尝试的最大次数,超出时将自动拒绝用户的访问请求。

在PHP脚本中,使用函数header()直接给客户端的浏览器发送HTTP标头,这样在客户端将会自动弹出用户名和密码输入窗口,来实现我们的身份认证功能。在PHP中,客户端用户输入的信息传送到服务器之后自动保存在 $PHP_AUTH_USER,$PHP_AUTH_PW,以及 $PHP_AUTH_TYPE这三个全局变量中。利用这三个变量,我们可以根据保存在数据文件或者数据库中用户帐号信息来验证用户身份!
不过,需要提醒使用者注意的是:只有在以模块方式安装的PHP中才能使用$PHP_AUTH_USER,$PHP_AUTH_PW,以及 $PHP_AUTH_TYPE这三个变量。如果用户使用的是CGI模式的PHP则无法实现验证功能。在本节后附有PHP的模块方式安装方法。

下面我们用Mysql数据库来存储用户的身份。我们需要从数据库中提取每个帐号的用户名和密码以便与$PHP_AUTH_USER和$PHP_AUTH_PW变量进行比较,判断用户的真实性。

首先,在MySql中建立一个存放用户信息的数据库

数据库名为XinXiKu ,表名为user;表定义如下:

create table user( 
ID INT(4) NOT NULL AUTO_INCREMENT, 
name VARCHAR(8) NOT NULL, 
password CHAR(8) NOT NULL, 
PRIMARY KEY(ID) 
)

说明:

1、ID为一个序列号,不为零而且自动递增,为主键;

2、name为用户名,不能为空;

3、password为用户密码,不能为空;

以下是用户验证文件login.php

//判断用户名是否设置 
if(!isset($PHP_AUTH_USER)) 
{ 
header("WWW-Authenticate:Basic realm="身份验证功能""); 
header("HTTP/1.0 401 Unauthorized"); 
echo "身份验证失败,您无权共享网络资源!"; 
exit(); 
} 
/*连接数据库*/ 
$db=mysql_connect("localhost","root",""); 
//选择数据库 
mysql_select_db("XinXiKu",$db); 
//查询用户是否存在 
$result=mysql_query("SELECT * FROM user where name='$PHP_AUTH_USER' and password='$PHP_AUTH_PW'",$db); 
if ($myrow = mysql_fetch_row($result)) 
{ 
//以下为身份验证成功后的相关操作 
... 
} 
else 
{ 
//身份验证不成功,提示用户重新输入 
header("WWW-Authenticate:Basic realm="身份验证功能""); 
header("HTTP/1.0 401 Unauthorized"); 
echo "身份验证失败,您无权共享网络资源!"; 
exit(); 
} 
?>

程序说明:
在程序中,首先检查变量$PHP_AUTH_USER是否已经设置。如果没有设置,说明需要验证,脚本发出HTTP 401错误号头标,告诉客户端的浏览器需要进行身份验证,由客户端的浏览器弹出一个身份验证窗口,提示用户输入用户名和密码,输入完成后,连接数据库,查询该用用户名及密码是否正确,如果正确,允许登录进行相关操作,如果不正确,继续要求用户输入用户名和密码。

函数说明:

1、isset():用于确定某个变量是否已被赋值。根据变量值是否存在,返回true或false

2、header():用于发送特定的HTTP标头。注意,使用header()函数时,一定要在任何产生实际输出的HTML或PHP代码前面调用该函数。

3、mysql_connect():打开 MySQL 服务器连接。

4、mysql_db_query():送查询字符串 (query) 到 MySQL 数据库。

5、mysql_fetch_row():返回单列的各字段。

二、用session实现服务器验证

对于需要身份验证的页面,使用apache服务器验证是最好不过的了。但是,apache服务器验证的界面不够友好。而且,cgi模式的php,iis下的php,都不能使用apache服务器验证。这样,我们可以利用session在不同页面间保存用户身份,达到身份验证的目的。

在后端我们同样利用上面的Mysql数据库存放用户信息。

我们先编写一个用户登录界面,文件名为login.php,代码职下:

<form action="login1.php"> 
用户名:<input type="text" name="name"><br> 
口 令:<input type="text" name="pass"><br> 
<input type="submit" value="登录"> 
</form>

login1.php处理提交的表单,代码如下:
$db=mysql_connect("localhost","root",""); 
mysql_select_db("XinXiKu",$db); 
$result=mysql_query("SELECT * FROM user where name='$name' and password='$pass'",$db); 
if ($myrow = mysql_fetch_row($result)) 
{ 
//注册用户 
session_start(); 
session_register("user"); 
$user=$myrow["user"]; 
// 身份验证成功,进行相关操作 
... 
} 
else 
{ 
echo"身份验证失败,您无权共享网络资源!"; 
} 
?>

这里需要说明的是,用户可以使用在后续的操作中用**http://domainname/next.php?user=用户名 **来绕过身份验证。所以,后续的操作应先检查变量是否注册:已注册,则进行相应操作,否则视为非法登录。相关代码如下:
session_start(); 
if (!session_is_registered("user")) 
{ 
echo "身份验证失败,属于非法登录!"; 
} 
else 
{ 
//成功登录进行相关操作 
... 
} 
?>

附录:PHP以模块方式安装方法

1、首先下载文件:mod_php4-4.0.1-pl2。[如果你的不是PHP4,那么就赶快升级吧!]

解开后有三个文件:mod_php4.dll、mod_php4.conf、readme.txt

2、相关文件拷贝

把mod_php4.dll拷贝到apache安装目录的modules目录下面

把mod_php4.conf拷贝到apache安装目录的conf目录下面

把msvcrt.dll文件拷贝到apache的安装目录下面

3、打开conf/srm.conf文件 ,在其中加上一句

Include conf/mod_php4.conf

在做这一些之前请把您的httpd.conf中关于CGI模式的所以设置语句都去掉,即类似下面的部分!
ScripAlias /php4/ "C:/php4/"
AddType application/x-httpd-php4 .php
AddType application/x-httpd-php4 .php3
AddType application/x-httpd-php4 .php4
Action application/x-httpd-php4 /php4/php.exe
要想使PHP支持更多的后缀名,没问题。在给出的配置文件mod_php4.conf已经支持了三种后缀名php,php3,php4,如果你还想支持更多的后缀名可以更改这个文件,很简单的。

4、测试

用<? phpinfo(); ?> 测试。会看到Server API的值为apache,而不是cgi ,而且还有有关HTTP Headers Information的信息。

PHP 相关文章推荐
用libtemplate实现静态网页生成
Oct 09 PHP
延长phpmyadmin登录时间的方法
Feb 06 PHP
php将时间差转换为字符串提示
Sep 07 PHP
二招解决php乱码问题
Mar 25 PHP
LotusPhp笔记之:基于ObjectUtil组件的使用分析
May 06 PHP
PHP连接SQLServer2005方法及代码
Dec 26 PHP
php内核解析:PHP中的哈希表
Jan 30 PHP
ThinkPHP3.1新特性之对Ajax的支持更加完善
Jun 19 PHP
php实现的短网址算法分享
Jun 20 PHP
Laravel 默认邮箱登录改成用户名登录的实现方法
Aug 12 PHP
Laravel 创建可以传递参数 Console服务的例子
Oct 14 PHP
基于thinkphp5框架实现微信小程序支付 退款 订单查询 退款查询操作
Aug 17 PHP
关于php curl获取301或302转向的网址问题的解决方法
Jun 02 #PHP
基于PHP的cURL快速入门教程 (小偷采集程序)
Jun 02 #PHP
PHP curl_setopt()函数实例代码与参数分析
Jun 02 #PHP
php小技巧 把数组的键和值交换形成了新的数组,查找值取得键
Jun 02 #PHP
使ecshop模板中可引用常量的实现方法
Jun 02 #PHP
php 数组使用详解 推荐
Jun 02 #PHP
php smarty 二级分类代码和模版循环例子
Jun 01 #PHP
You might like
PHP资源管理框架Assetic简介
2014/06/12 PHP
PHP和C#可共用的可逆加密算法详解
2015/10/26 PHP
PHP扩展Memcache分布式部署方案
2015/12/06 PHP
jquery延迟加载外部js实现代码
2013/01/11 Javascript
javascript ajax 仿百度分页函数
2013/10/29 Javascript
jQuery实现的图片分组切换焦点图插件
2015/01/06 Javascript
canvas的神奇用法
2017/02/03 Javascript
基于JavaScript实现验证码功能
2017/04/01 Javascript
jQuery实现动态给table赋值的方法示例
2017/07/04 jQuery
javascript+html5+css3自定义弹出窗口效果
2017/10/26 Javascript
推荐10款扩展Web表单的JS插件
2017/12/25 Javascript
(模仿京东用户注册)用JQuery实现简单表单验证,初学者必看
2018/01/08 jQuery
vue.js与element-ui实现菜单树形结构的解决方法
2018/04/21 Javascript
微信小程序返回箭头跳转到指定页面实例解析
2019/10/08 Javascript
Vue.js 实现地址管理页面思路详解(地址添加、编辑、删除和设置默认地址)
2019/12/11 Javascript
python使用paramiko模块实现ssh远程登陆上传文件并执行
2014/01/27 Python
Unicode和Python的中文处理
2017/03/19 Python
python 矩阵增加一行或一列的实例
2018/04/04 Python
python 不同方式读取文件速度不同的实例
2018/11/09 Python
在python中利用KNN实现对iris进行分类的方法
2018/12/11 Python
PyQt5使用QTimer实现电子时钟
2019/07/29 Python
通过selenium抓取某东的TT购买记录并分析趋势过程解析
2019/08/15 Python
Python 转换RGB颜色值的示例代码
2019/10/13 Python
详解anaconda离线安装pytorchGPU版
2020/09/08 Python
一款纯css3实现的动画加载导航
2014/10/08 HTML / CSS
澳大利亚家庭花园和DIY工具网店:VidaXL
2019/05/03 全球购物
Nordgreen台湾官网:极简北欧设计手表
2019/08/21 全球购物
难忘的一天教学反思
2014/04/30 职场文书
个人务虚会发言材料
2014/10/20 职场文书
支行行长竞聘报告
2014/11/06 职场文书
2014年班级工作总结
2014/11/14 职场文书
特种设备安全管理制度
2015/08/06 职场文书
学法用法心得体会(2016推荐篇)
2016/01/21 职场文书
初中思品教学反思
2016/02/20 职场文书
vue实现同时设置多个倒计时
2021/05/20 Vue.js
基于flask实现五子棋小游戏
2021/05/25 Python