PHP中对用户身份认证实现两种方法


Posted in PHP onJune 04, 2011

当访问者浏览受保护页面时,客户端浏览器会弹出对话窗口要求用户输入用户名和密码,对用户的身份进行验证,以决定用户是否有权访问页面。下面用两种方法来说明其实现原理。

一、用HTTP标头来实现

标头是服务器以HTTP协议传送HTML信息到浏览器前所送出的字串。HTTP采用一种挑战/响应模式对试图进入受密码保护区域的用户进行身份验证。具体来说,当用户首次向WEB服务器发出访问受保护区域的请求时,挑战进程被启动,服务器返回特殊的401标头,表明该用户身份未经验证。客户端浏览器在检测到上述响应之后自动弹出对话框,要求用户输入用户名和密码。用户完成输入之后点击确定,其身份识别信息就被传送到服务端进行验证。如果用户输入的用户名和密码有效,WEB服务器将允许用户进入受保护区域,并且在整个访问过程中保持其身份的有效性。相反,若用户输入的用户名称或密码无法通过验证,客户端浏览器会不断弹出输入窗口要求用户再次尝试输入正确的信息。整个过程将一直持续到用户输入正确的信息位置,也可以设定允许用户进行尝试的最大次数,超出时将自动拒绝用户的访问请求。

在PHP脚本中,使用函数header()直接给客户端的浏览器发送HTTP标头,这样在客户端将会自动弹出用户名和密码输入窗口,来实现我们的身份认证功能。在PHP中,客户端用户输入的信息传送到服务器之后自动保存在 $PHP_AUTH_USER,$PHP_AUTH_PW,以及 $PHP_AUTH_TYPE这三个全局变量中。利用这三个变量,我们可以根据保存在数据文件或者数据库中用户帐号信息来验证用户身份!
不过,需要提醒使用者注意的是:只有在以模块方式安装的PHP中才能使用$PHP_AUTH_USER,$PHP_AUTH_PW,以及 $PHP_AUTH_TYPE这三个变量。如果用户使用的是CGI模式的PHP则无法实现验证功能。在本节后附有PHP的模块方式安装方法。

下面我们用Mysql数据库来存储用户的身份。我们需要从数据库中提取每个帐号的用户名和密码以便与$PHP_AUTH_USER和$PHP_AUTH_PW变量进行比较,判断用户的真实性。

首先,在MySql中建立一个存放用户信息的数据库

数据库名为XinXiKu ,表名为user;表定义如下:

create table user( 
ID INT(4) NOT NULL AUTO_INCREMENT, 
name VARCHAR(8) NOT NULL, 
password CHAR(8) NOT NULL, 
PRIMARY KEY(ID) 
)

说明:

1、ID为一个序列号,不为零而且自动递增,为主键;

2、name为用户名,不能为空;

3、password为用户密码,不能为空;

以下是用户验证文件login.php

//判断用户名是否设置 
if(!isset($PHP_AUTH_USER)) 
{ 
header("WWW-Authenticate:Basic realm="身份验证功能""); 
header("HTTP/1.0 401 Unauthorized"); 
echo "身份验证失败,您无权共享网络资源!"; 
exit(); 
} 
/*连接数据库*/ 
$db=mysql_connect("localhost","root",""); 
//选择数据库 
mysql_select_db("XinXiKu",$db); 
//查询用户是否存在 
$result=mysql_query("SELECT * FROM user where name='$PHP_AUTH_USER' and password='$PHP_AUTH_PW'",$db); 
if ($myrow = mysql_fetch_row($result)) 
{ 
//以下为身份验证成功后的相关操作 
... 
} 
else 
{ 
//身份验证不成功,提示用户重新输入 
header("WWW-Authenticate:Basic realm="身份验证功能""); 
header("HTTP/1.0 401 Unauthorized"); 
echo "身份验证失败,您无权共享网络资源!"; 
exit(); 
} 
?>

程序说明:
在程序中,首先检查变量$PHP_AUTH_USER是否已经设置。如果没有设置,说明需要验证,脚本发出HTTP 401错误号头标,告诉客户端的浏览器需要进行身份验证,由客户端的浏览器弹出一个身份验证窗口,提示用户输入用户名和密码,输入完成后,连接数据库,查询该用用户名及密码是否正确,如果正确,允许登录进行相关操作,如果不正确,继续要求用户输入用户名和密码。

函数说明:

1、isset():用于确定某个变量是否已被赋值。根据变量值是否存在,返回true或false

2、header():用于发送特定的HTTP标头。注意,使用header()函数时,一定要在任何产生实际输出的HTML或PHP代码前面调用该函数。

3、mysql_connect():打开 MySQL 服务器连接。

4、mysql_db_query():送查询字符串 (query) 到 MySQL 数据库。

5、mysql_fetch_row():返回单列的各字段。

二、用session实现服务器验证

对于需要身份验证的页面,使用apache服务器验证是最好不过的了。但是,apache服务器验证的界面不够友好。而且,cgi模式的php,iis下的php,都不能使用apache服务器验证。这样,我们可以利用session在不同页面间保存用户身份,达到身份验证的目的。

在后端我们同样利用上面的Mysql数据库存放用户信息。

我们先编写一个用户登录界面,文件名为login.php,代码职下:

<form action="login1.php"> 
用户名:<input type="text" name="name"><br> 
口 令:<input type="text" name="pass"><br> 
<input type="submit" value="登录"> 
</form>

login1.php处理提交的表单,代码如下:
$db=mysql_connect("localhost","root",""); 
mysql_select_db("XinXiKu",$db); 
$result=mysql_query("SELECT * FROM user where name='$name' and password='$pass'",$db); 
if ($myrow = mysql_fetch_row($result)) 
{ 
//注册用户 
session_start(); 
session_register("user"); 
$user=$myrow["user"]; 
// 身份验证成功,进行相关操作 
... 
} 
else 
{ 
echo"身份验证失败,您无权共享网络资源!"; 
} 
?>

这里需要说明的是,用户可以使用在后续的操作中用**http://domainname/next.php?user=用户名 **来绕过身份验证。所以,后续的操作应先检查变量是否注册:已注册,则进行相应操作,否则视为非法登录。相关代码如下:
session_start(); 
if (!session_is_registered("user")) 
{ 
echo "身份验证失败,属于非法登录!"; 
} 
else 
{ 
//成功登录进行相关操作 
... 
} 
?>

附录:PHP以模块方式安装方法

1、首先下载文件:mod_php4-4.0.1-pl2。[如果你的不是PHP4,那么就赶快升级吧!]

解开后有三个文件:mod_php4.dll、mod_php4.conf、readme.txt

2、相关文件拷贝

把mod_php4.dll拷贝到apache安装目录的modules目录下面

把mod_php4.conf拷贝到apache安装目录的conf目录下面

把msvcrt.dll文件拷贝到apache的安装目录下面

3、打开conf/srm.conf文件 ,在其中加上一句

Include conf/mod_php4.conf

在做这一些之前请把您的httpd.conf中关于CGI模式的所以设置语句都去掉,即类似下面的部分!
ScripAlias /php4/ "C:/php4/"
AddType application/x-httpd-php4 .php
AddType application/x-httpd-php4 .php3
AddType application/x-httpd-php4 .php4
Action application/x-httpd-php4 /php4/php.exe
要想使PHP支持更多的后缀名,没问题。在给出的配置文件mod_php4.conf已经支持了三种后缀名php,php3,php4,如果你还想支持更多的后缀名可以更改这个文件,很简单的。

4、测试

用<? phpinfo(); ?> 测试。会看到Server API的值为apache,而不是cgi ,而且还有有关HTTP Headers Information的信息。

PHP 相关文章推荐
PHP4中session登录页面的应用
Jul 25 PHP
php加密解密实用类分享
Jan 07 PHP
php中使用base HTTP验证的方法
Apr 20 PHP
编写PHP脚本来实现WordPress中评论分页的功能
Dec 10 PHP
Win7环境下Apache连接MySQL提示连接已重置的解决办法
May 09 PHP
PHP多进程编程实例详解
Jul 19 PHP
通过修改Laravel Auth使用salt和password进行认证用户详解
Aug 17 PHP
PHP实现使用DOM将XML数据存入数组的方法示例
Sep 27 PHP
php 可变函数使用小结
Jun 12 PHP
PHP的mysqli_stat()函数讲解
Jan 23 PHP
解决laravel id非自增 模型取回为0 的问题
Oct 11 PHP
Laravel5.3+框架定义API路径取消CSRF保护方法详解
Apr 06 PHP
关于php curl获取301或302转向的网址问题的解决方法
Jun 02 #PHP
基于PHP的cURL快速入门教程 (小偷采集程序)
Jun 02 #PHP
PHP curl_setopt()函数实例代码与参数分析
Jun 02 #PHP
php小技巧 把数组的键和值交换形成了新的数组,查找值取得键
Jun 02 #PHP
使ecshop模板中可引用常量的实现方法
Jun 02 #PHP
php 数组使用详解 推荐
Jun 02 #PHP
php smarty 二级分类代码和模版循环例子
Jun 01 #PHP
You might like
php图片处理:加水印、缩略图的实现(自定义函数:watermark、thumbnail)
2010/12/02 PHP
基于php导出到Excel或CSV的详解(附utf8、gbk 编码转换)
2013/06/25 PHP
php读取csv实现csv文件下载功能
2013/12/18 PHP
php5.4以下版本json不支持不转义内容中文的解决方法
2015/01/13 PHP
网站被恶意镜像怎么办 php一段代码轻松搞定(全面版)
2018/10/23 PHP
php实现的表单验证类完整示例
2019/08/13 PHP
javascript 全等号运算符使用说明
2010/05/31 Javascript
获得Javascript对象属性个数的示例代码
2013/11/21 Javascript
jquery.ajax的url中传递中文乱码问题的解决方法
2014/02/07 Javascript
jQuery中queue()方法用法实例
2014/12/29 Javascript
使用jquery+CSS实现控制打印样式
2014/12/31 Javascript
使用angular写一个hello world
2015/01/23 Javascript
JQuery中节点遍历方法实例
2015/05/18 Javascript
js通过classname来获取元素的方法
2016/11/24 Javascript
详解Javascript数据类型的转换规则
2016/12/12 Javascript
React简单介绍
2017/05/24 Javascript
AngularJS实现图片上传和预览功能的方法分析
2017/11/08 Javascript
layDate日期控件使用方法详解
2018/11/15 Javascript
js中this的指向问题归纳总结
2018/11/28 Javascript
Vue 用Vant实现时间选择器的示例代码
2019/10/25 Javascript
OpenLayers3实现测量功能
2020/09/25 Javascript
如何手写一个简易的 Vuex
2020/10/10 Javascript
使用Python中PDB模块中的命令来调试Python代码的教程
2015/03/30 Python
深入讲解Python中的迭代器和生成器
2015/10/26 Python
解决pycharm界面不能显示中文的问题
2018/05/23 Python
浅谈django rest jwt vue 跨域问题
2018/10/26 Python
python实现创建新列表和新字典,并使元素及键值对全部变成小写
2019/01/15 Python
Python3.5 Pandas模块之DataFrame用法实例分析
2019/04/23 Python
tensorflow 动态获取 BatchSzie 的大小实例
2020/06/30 Python
世界上最伟大的马产品:Equiderma
2020/01/07 全球购物
数学与统计学院学生个人职业生涯规划书
2014/02/10 职场文书
购房委托书范本
2014/09/18 职场文书
大学军训心得体会800字
2016/01/11 职场文书
sql查询结果列拼接成逗号分隔的字符串方法
2021/05/25 SQL Server
Python selenium模拟网页点击爬虫交管12123违章数据
2021/05/26 Python
Sql Server之数据类型详解
2022/02/28 SQL Server