PHP中对用户身份认证实现两种方法


Posted in PHP onJune 04, 2011

当访问者浏览受保护页面时,客户端浏览器会弹出对话窗口要求用户输入用户名和密码,对用户的身份进行验证,以决定用户是否有权访问页面。下面用两种方法来说明其实现原理。

一、用HTTP标头来实现

标头是服务器以HTTP协议传送HTML信息到浏览器前所送出的字串。HTTP采用一种挑战/响应模式对试图进入受密码保护区域的用户进行身份验证。具体来说,当用户首次向WEB服务器发出访问受保护区域的请求时,挑战进程被启动,服务器返回特殊的401标头,表明该用户身份未经验证。客户端浏览器在检测到上述响应之后自动弹出对话框,要求用户输入用户名和密码。用户完成输入之后点击确定,其身份识别信息就被传送到服务端进行验证。如果用户输入的用户名和密码有效,WEB服务器将允许用户进入受保护区域,并且在整个访问过程中保持其身份的有效性。相反,若用户输入的用户名称或密码无法通过验证,客户端浏览器会不断弹出输入窗口要求用户再次尝试输入正确的信息。整个过程将一直持续到用户输入正确的信息位置,也可以设定允许用户进行尝试的最大次数,超出时将自动拒绝用户的访问请求。

在PHP脚本中,使用函数header()直接给客户端的浏览器发送HTTP标头,这样在客户端将会自动弹出用户名和密码输入窗口,来实现我们的身份认证功能。在PHP中,客户端用户输入的信息传送到服务器之后自动保存在 $PHP_AUTH_USER,$PHP_AUTH_PW,以及 $PHP_AUTH_TYPE这三个全局变量中。利用这三个变量,我们可以根据保存在数据文件或者数据库中用户帐号信息来验证用户身份!
不过,需要提醒使用者注意的是:只有在以模块方式安装的PHP中才能使用$PHP_AUTH_USER,$PHP_AUTH_PW,以及 $PHP_AUTH_TYPE这三个变量。如果用户使用的是CGI模式的PHP则无法实现验证功能。在本节后附有PHP的模块方式安装方法。

下面我们用Mysql数据库来存储用户的身份。我们需要从数据库中提取每个帐号的用户名和密码以便与$PHP_AUTH_USER和$PHP_AUTH_PW变量进行比较,判断用户的真实性。

首先,在MySql中建立一个存放用户信息的数据库

数据库名为XinXiKu ,表名为user;表定义如下:

create table user( 
ID INT(4) NOT NULL AUTO_INCREMENT, 
name VARCHAR(8) NOT NULL, 
password CHAR(8) NOT NULL, 
PRIMARY KEY(ID) 
)

说明:

1、ID为一个序列号,不为零而且自动递增,为主键;

2、name为用户名,不能为空;

3、password为用户密码,不能为空;

以下是用户验证文件login.php

//判断用户名是否设置 
if(!isset($PHP_AUTH_USER)) 
{ 
header("WWW-Authenticate:Basic realm="身份验证功能""); 
header("HTTP/1.0 401 Unauthorized"); 
echo "身份验证失败,您无权共享网络资源!"; 
exit(); 
} 
/*连接数据库*/ 
$db=mysql_connect("localhost","root",""); 
//选择数据库 
mysql_select_db("XinXiKu",$db); 
//查询用户是否存在 
$result=mysql_query("SELECT * FROM user where name='$PHP_AUTH_USER' and password='$PHP_AUTH_PW'",$db); 
if ($myrow = mysql_fetch_row($result)) 
{ 
//以下为身份验证成功后的相关操作 
... 
} 
else 
{ 
//身份验证不成功,提示用户重新输入 
header("WWW-Authenticate:Basic realm="身份验证功能""); 
header("HTTP/1.0 401 Unauthorized"); 
echo "身份验证失败,您无权共享网络资源!"; 
exit(); 
} 
?>

程序说明:
在程序中,首先检查变量$PHP_AUTH_USER是否已经设置。如果没有设置,说明需要验证,脚本发出HTTP 401错误号头标,告诉客户端的浏览器需要进行身份验证,由客户端的浏览器弹出一个身份验证窗口,提示用户输入用户名和密码,输入完成后,连接数据库,查询该用用户名及密码是否正确,如果正确,允许登录进行相关操作,如果不正确,继续要求用户输入用户名和密码。

函数说明:

1、isset():用于确定某个变量是否已被赋值。根据变量值是否存在,返回true或false

2、header():用于发送特定的HTTP标头。注意,使用header()函数时,一定要在任何产生实际输出的HTML或PHP代码前面调用该函数。

3、mysql_connect():打开 MySQL 服务器连接。

4、mysql_db_query():送查询字符串 (query) 到 MySQL 数据库。

5、mysql_fetch_row():返回单列的各字段。

二、用session实现服务器验证

对于需要身份验证的页面,使用apache服务器验证是最好不过的了。但是,apache服务器验证的界面不够友好。而且,cgi模式的php,iis下的php,都不能使用apache服务器验证。这样,我们可以利用session在不同页面间保存用户身份,达到身份验证的目的。

在后端我们同样利用上面的Mysql数据库存放用户信息。

我们先编写一个用户登录界面,文件名为login.php,代码职下:

<form action="login1.php"> 
用户名:<input type="text" name="name"><br> 
口 令:<input type="text" name="pass"><br> 
<input type="submit" value="登录"> 
</form>

login1.php处理提交的表单,代码如下:
$db=mysql_connect("localhost","root",""); 
mysql_select_db("XinXiKu",$db); 
$result=mysql_query("SELECT * FROM user where name='$name' and password='$pass'",$db); 
if ($myrow = mysql_fetch_row($result)) 
{ 
//注册用户 
session_start(); 
session_register("user"); 
$user=$myrow["user"]; 
// 身份验证成功,进行相关操作 
... 
} 
else 
{ 
echo"身份验证失败,您无权共享网络资源!"; 
} 
?>

这里需要说明的是,用户可以使用在后续的操作中用**http://domainname/next.php?user=用户名 **来绕过身份验证。所以,后续的操作应先检查变量是否注册:已注册,则进行相应操作,否则视为非法登录。相关代码如下:
session_start(); 
if (!session_is_registered("user")) 
{ 
echo "身份验证失败,属于非法登录!"; 
} 
else 
{ 
//成功登录进行相关操作 
... 
} 
?>

附录:PHP以模块方式安装方法

1、首先下载文件:mod_php4-4.0.1-pl2。[如果你的不是PHP4,那么就赶快升级吧!]

解开后有三个文件:mod_php4.dll、mod_php4.conf、readme.txt

2、相关文件拷贝

把mod_php4.dll拷贝到apache安装目录的modules目录下面

把mod_php4.conf拷贝到apache安装目录的conf目录下面

把msvcrt.dll文件拷贝到apache的安装目录下面

3、打开conf/srm.conf文件 ,在其中加上一句

Include conf/mod_php4.conf

在做这一些之前请把您的httpd.conf中关于CGI模式的所以设置语句都去掉,即类似下面的部分!
ScripAlias /php4/ "C:/php4/"
AddType application/x-httpd-php4 .php
AddType application/x-httpd-php4 .php3
AddType application/x-httpd-php4 .php4
Action application/x-httpd-php4 /php4/php.exe
要想使PHP支持更多的后缀名,没问题。在给出的配置文件mod_php4.conf已经支持了三种后缀名php,php3,php4,如果你还想支持更多的后缀名可以更改这个文件,很简单的。

4、测试

用<? phpinfo(); ?> 测试。会看到Server API的值为apache,而不是cgi ,而且还有有关HTTP Headers Information的信息。

PHP 相关文章推荐
一个更简单的无限级分类菜单代码
Jan 16 PHP
PHP句法规则详解 入门学习
Nov 09 PHP
PHP压缩html网页代码(清除空格,换行符,制表符,注释标记)
Apr 02 PHP
PHP CURL获取cookies模拟登录的方法
Nov 04 PHP
2个自定义的PHP in_array 函数,解决大量数据判断in_array的效率问题
Apr 08 PHP
浅析PHP的静态成员函数效率更高的原因
Jun 13 PHP
PHP简单实现冒泡排序的方法
Dec 26 PHP
PHP中单例模式与工厂模式详解
Feb 17 PHP
Laravel框架中Blade模板的用法示例
Aug 30 PHP
php array 转json及java 转换 json数据格式操作示例
Nov 13 PHP
php 使用ActiveMQ发送消息,与处理消息操作示例
Feb 23 PHP
php操作redis常见方法示例【key与value操作】
Apr 14 PHP
关于php curl获取301或302转向的网址问题的解决方法
Jun 02 #PHP
基于PHP的cURL快速入门教程 (小偷采集程序)
Jun 02 #PHP
PHP curl_setopt()函数实例代码与参数分析
Jun 02 #PHP
php小技巧 把数组的键和值交换形成了新的数组,查找值取得键
Jun 02 #PHP
使ecshop模板中可引用常量的实现方法
Jun 02 #PHP
php 数组使用详解 推荐
Jun 02 #PHP
php smarty 二级分类代码和模版循环例子
Jun 01 #PHP
You might like
一些被忽视的PHP函数(简单整理)
2010/04/30 PHP
PHP处理Oracle的CLOB实例
2014/11/03 PHP
php使用curl简单抓取远程url的方法
2015/03/13 PHP
PHP获取音频文件的相关信息
2015/06/22 PHP
javascript使用eval或者new Function进行语法检查
2010/10/16 Javascript
javascript页面动态显示时间变化示例代码
2013/12/18 Javascript
在百度知道团队中快速审批新成员的js脚本
2014/02/02 Javascript
jQuery .tmpl() 用法示例介绍
2014/08/21 Javascript
JS选项卡动态替换banner图片路径的方法
2015/05/11 Javascript
Jquery ajax加载等待执行结束再继续执行下面代码操作
2015/11/24 Javascript
jQuery模拟物体自由落体运动(附演示与demo源码下载)
2016/01/21 Javascript
vue.js初学入门教程(1)
2016/11/03 Javascript
Angular学习教程之RouterLink花式跳转
2018/05/03 Javascript
element-ui 关于获取select 的label值方法
2018/08/24 Javascript
vue-cli项目使用mock数据的方法(借助express)
2019/04/15 Javascript
小程序两种滚动公告栏的实现方法
2019/09/17 Javascript
layui 富文本编辑器和textarea值的相互传递方法
2019/09/18 Javascript
快速解决element的autofocus失效问题
2020/09/08 Javascript
用Python制作在地图上模拟瘟疫扩散的Gif图
2015/03/31 Python
python排序函数sort()与sorted()的区别
2018/09/18 Python
python中的colorlog库使用详解
2019/07/05 Python
Python实现的爬取豆瓣电影信息功能案例
2019/09/15 Python
html5自动播放mov格式视频的实例代码
2020/01/14 HTML / CSS
领先的钻石和订婚戒指零售商:Diamonds-USA
2016/12/11 全球购物
澳大利亚当地最大的时装生产商:Cue
2018/08/06 全球购物
大码女装:Ulla Popken
2019/08/06 全球购物
LORAC官网:美国彩妆品牌
2019/08/27 全球购物
空指针到底是什么
2012/08/07 面试题
优质的学校老师推荐信
2013/10/28 职场文书
中专生职业生涯规划书范文
2013/12/29 职场文书
宿舍保安职务说明书
2014/02/25 职场文书
中学生演讲稿
2014/04/26 职场文书
2016年秋季运动会通讯稿
2015/11/25 职场文书
小学生必读成语故事大全:送给暑假的你们
2019/07/09 职场文书
Python移位密码、仿射变换解密实例代码
2021/06/27 Python
关于Python OS模块常用文件/目录函数详解
2021/07/01 Python