PHP中对用户身份认证实现两种方法


Posted in PHP onJune 04, 2011

当访问者浏览受保护页面时,客户端浏览器会弹出对话窗口要求用户输入用户名和密码,对用户的身份进行验证,以决定用户是否有权访问页面。下面用两种方法来说明其实现原理。

一、用HTTP标头来实现

标头是服务器以HTTP协议传送HTML信息到浏览器前所送出的字串。HTTP采用一种挑战/响应模式对试图进入受密码保护区域的用户进行身份验证。具体来说,当用户首次向WEB服务器发出访问受保护区域的请求时,挑战进程被启动,服务器返回特殊的401标头,表明该用户身份未经验证。客户端浏览器在检测到上述响应之后自动弹出对话框,要求用户输入用户名和密码。用户完成输入之后点击确定,其身份识别信息就被传送到服务端进行验证。如果用户输入的用户名和密码有效,WEB服务器将允许用户进入受保护区域,并且在整个访问过程中保持其身份的有效性。相反,若用户输入的用户名称或密码无法通过验证,客户端浏览器会不断弹出输入窗口要求用户再次尝试输入正确的信息。整个过程将一直持续到用户输入正确的信息位置,也可以设定允许用户进行尝试的最大次数,超出时将自动拒绝用户的访问请求。

在PHP脚本中,使用函数header()直接给客户端的浏览器发送HTTP标头,这样在客户端将会自动弹出用户名和密码输入窗口,来实现我们的身份认证功能。在PHP中,客户端用户输入的信息传送到服务器之后自动保存在 $PHP_AUTH_USER,$PHP_AUTH_PW,以及 $PHP_AUTH_TYPE这三个全局变量中。利用这三个变量,我们可以根据保存在数据文件或者数据库中用户帐号信息来验证用户身份!
不过,需要提醒使用者注意的是:只有在以模块方式安装的PHP中才能使用$PHP_AUTH_USER,$PHP_AUTH_PW,以及 $PHP_AUTH_TYPE这三个变量。如果用户使用的是CGI模式的PHP则无法实现验证功能。在本节后附有PHP的模块方式安装方法。

下面我们用Mysql数据库来存储用户的身份。我们需要从数据库中提取每个帐号的用户名和密码以便与$PHP_AUTH_USER和$PHP_AUTH_PW变量进行比较,判断用户的真实性。

首先,在MySql中建立一个存放用户信息的数据库

数据库名为XinXiKu ,表名为user;表定义如下:

create table user( 
ID INT(4) NOT NULL AUTO_INCREMENT, 
name VARCHAR(8) NOT NULL, 
password CHAR(8) NOT NULL, 
PRIMARY KEY(ID) 
)

说明:

1、ID为一个序列号,不为零而且自动递增,为主键;

2、name为用户名,不能为空;

3、password为用户密码,不能为空;

以下是用户验证文件login.php

//判断用户名是否设置 
if(!isset($PHP_AUTH_USER)) 
{ 
header("WWW-Authenticate:Basic realm="身份验证功能""); 
header("HTTP/1.0 401 Unauthorized"); 
echo "身份验证失败,您无权共享网络资源!"; 
exit(); 
} 
/*连接数据库*/ 
$db=mysql_connect("localhost","root",""); 
//选择数据库 
mysql_select_db("XinXiKu",$db); 
//查询用户是否存在 
$result=mysql_query("SELECT * FROM user where name='$PHP_AUTH_USER' and password='$PHP_AUTH_PW'",$db); 
if ($myrow = mysql_fetch_row($result)) 
{ 
//以下为身份验证成功后的相关操作 
... 
} 
else 
{ 
//身份验证不成功,提示用户重新输入 
header("WWW-Authenticate:Basic realm="身份验证功能""); 
header("HTTP/1.0 401 Unauthorized"); 
echo "身份验证失败,您无权共享网络资源!"; 
exit(); 
} 
?>

程序说明:
在程序中,首先检查变量$PHP_AUTH_USER是否已经设置。如果没有设置,说明需要验证,脚本发出HTTP 401错误号头标,告诉客户端的浏览器需要进行身份验证,由客户端的浏览器弹出一个身份验证窗口,提示用户输入用户名和密码,输入完成后,连接数据库,查询该用用户名及密码是否正确,如果正确,允许登录进行相关操作,如果不正确,继续要求用户输入用户名和密码。

函数说明:

1、isset():用于确定某个变量是否已被赋值。根据变量值是否存在,返回true或false

2、header():用于发送特定的HTTP标头。注意,使用header()函数时,一定要在任何产生实际输出的HTML或PHP代码前面调用该函数。

3、mysql_connect():打开 MySQL 服务器连接。

4、mysql_db_query():送查询字符串 (query) 到 MySQL 数据库。

5、mysql_fetch_row():返回单列的各字段。

二、用session实现服务器验证

对于需要身份验证的页面,使用apache服务器验证是最好不过的了。但是,apache服务器验证的界面不够友好。而且,cgi模式的php,iis下的php,都不能使用apache服务器验证。这样,我们可以利用session在不同页面间保存用户身份,达到身份验证的目的。

在后端我们同样利用上面的Mysql数据库存放用户信息。

我们先编写一个用户登录界面,文件名为login.php,代码职下:

<form action="login1.php"> 
用户名:<input type="text" name="name"><br> 
口 令:<input type="text" name="pass"><br> 
<input type="submit" value="登录"> 
</form>

login1.php处理提交的表单,代码如下:
$db=mysql_connect("localhost","root",""); 
mysql_select_db("XinXiKu",$db); 
$result=mysql_query("SELECT * FROM user where name='$name' and password='$pass'",$db); 
if ($myrow = mysql_fetch_row($result)) 
{ 
//注册用户 
session_start(); 
session_register("user"); 
$user=$myrow["user"]; 
// 身份验证成功,进行相关操作 
... 
} 
else 
{ 
echo"身份验证失败,您无权共享网络资源!"; 
} 
?>

这里需要说明的是,用户可以使用在后续的操作中用**http://domainname/next.php?user=用户名 **来绕过身份验证。所以,后续的操作应先检查变量是否注册:已注册,则进行相应操作,否则视为非法登录。相关代码如下:
session_start(); 
if (!session_is_registered("user")) 
{ 
echo "身份验证失败,属于非法登录!"; 
} 
else 
{ 
//成功登录进行相关操作 
... 
} 
?>

附录:PHP以模块方式安装方法

1、首先下载文件:mod_php4-4.0.1-pl2。[如果你的不是PHP4,那么就赶快升级吧!]

解开后有三个文件:mod_php4.dll、mod_php4.conf、readme.txt

2、相关文件拷贝

把mod_php4.dll拷贝到apache安装目录的modules目录下面

把mod_php4.conf拷贝到apache安装目录的conf目录下面

把msvcrt.dll文件拷贝到apache的安装目录下面

3、打开conf/srm.conf文件 ,在其中加上一句

Include conf/mod_php4.conf

在做这一些之前请把您的httpd.conf中关于CGI模式的所以设置语句都去掉,即类似下面的部分!
ScripAlias /php4/ "C:/php4/"
AddType application/x-httpd-php4 .php
AddType application/x-httpd-php4 .php3
AddType application/x-httpd-php4 .php4
Action application/x-httpd-php4 /php4/php.exe
要想使PHP支持更多的后缀名,没问题。在给出的配置文件mod_php4.conf已经支持了三种后缀名php,php3,php4,如果你还想支持更多的后缀名可以更改这个文件,很简单的。

4、测试

用<? phpinfo(); ?> 测试。会看到Server API的值为apache,而不是cgi ,而且还有有关HTTP Headers Information的信息。

PHP 相关文章推荐
用PHP动态创建Flash动画
Oct 09 PHP
PHP小技巧搜集,每个PHPer都来露一手
Jan 02 PHP
php下拉选项的批量操作的实现代码
Oct 14 PHP
2014过年倒计时示例
Jan 31 PHP
从零开始学YII2框架(一)通过Composer安装Yii2框架
Aug 20 PHP
PHP实现的简易版图片相似度比较
Jan 07 PHP
WordPress中编写自定义存储字段的相关PHP函数解析
Dec 25 PHP
php 判断字符串编码是utf-8 或gb2312实例
Nov 01 PHP
thinkphp的dump函数无输出实例代码
Nov 15 PHP
ThinkPHP中create()方法自动验证表单信息
Apr 28 PHP
PHP使用preg_split和explode分割textarea存放内容的方法分析
Jul 03 PHP
PHP中通过getopt解析GNU C风格命令行选项
Nov 18 PHP
关于php curl获取301或302转向的网址问题的解决方法
Jun 02 #PHP
基于PHP的cURL快速入门教程 (小偷采集程序)
Jun 02 #PHP
PHP curl_setopt()函数实例代码与参数分析
Jun 02 #PHP
php小技巧 把数组的键和值交换形成了新的数组,查找值取得键
Jun 02 #PHP
使ecshop模板中可引用常量的实现方法
Jun 02 #PHP
php 数组使用详解 推荐
Jun 02 #PHP
php smarty 二级分类代码和模版循环例子
Jun 01 #PHP
You might like
邮箱正则表达式实现代码(针对php)
2013/06/21 PHP
php通过strpos查找字符串出现位置的方法
2015/03/17 PHP
mysql_connect localhost和127.0.0.1的区别(网络层阐述)
2015/03/26 PHP
PHP去掉json字符串中的反斜杠\及去掉双引号前的反斜杠
2015/09/30 PHP
执行iframe中的javascript方法
2008/10/07 Javascript
javascript 学习笔记(一)DOM基本操作
2011/04/08 Javascript
nodejs中转换URL字符串与查询字符串详解
2014/11/26 NodeJs
jQuery实现类似淘宝网图片放大效果的方法
2015/07/08 Javascript
JS实现的手机端精简幻灯片效果
2016/09/05 Javascript
浅谈js继承的实现及公有、私有、静态方法的书写
2016/10/28 Javascript
微信小程序-图片、录音、音频播放、音乐播放、视频、文件代码实例
2016/11/22 Javascript
JS碰撞运动实现方法详解
2016/12/15 Javascript
使用Bootstrap + Vue.js实现添加删除数据示例
2017/02/27 Javascript
JavaScript实现弹出广告功能
2017/03/30 Javascript
vue2过滤器模糊查询方法
2018/09/16 Javascript
微信小程序中this.data与this.setData的区别详解
2018/09/17 Javascript
JS实现的tab切换并显示相应内容模块功能示例
2019/08/03 Javascript
nuxt配置通过指定IP和端口访问的实现
2020/01/08 Javascript
Python导入txt数据到mysql的方法
2015/04/08 Python
详解Python 模拟实现生产者消费者模式的实例
2017/08/10 Python
python中利用await关键字如何等待Future对象完成详解
2017/09/07 Python
Python输出带颜色的字符串实例
2017/10/10 Python
python中找出numpy array数组的最值及其索引方法
2018/04/17 Python
Python延时操作实现方法示例
2018/08/14 Python
Python获取浏览器窗口句柄过程解析
2020/07/25 Python
HTML5实现动画效果的方式汇总
2016/02/29 HTML / CSS
印度手工编织服装和家居用品商店:Fabindi
2019/10/07 全球购物
英文版网络工程师求职信
2013/10/28 职场文书
颁奖典礼主持词
2014/03/25 职场文书
求职自荐信的格式
2014/04/07 职场文书
元宵节寄语大全
2015/02/27 职场文书
2015年领导干部廉洁自律工作总结
2015/05/26 职场文书
城南旧事观后感
2015/06/11 职场文书
Java实现多线程聊天室
2021/06/26 Java/Android
阿里云日志过滤器配置日志服务
2022/04/09 Servers
Python find()、rfind()方法及作用
2022/12/24 Python