php基于表单密码验证与HTTP验证用法实例


Posted in PHP onJanuary 06, 2015

本文实例讲述了php基于表单密码验证与HTTP验证用法。分享给大家供大家参考。具体分析如下:

PHP 的 HTTP 认证机制仅在 PHP 以 Apache 模块方式运行时才有效,因此该功能不适用于 CGI 版本。在 Apache 模块的 PHP 脚本中,可以用 header() 函数来向客户端浏览器发送“Authentication Required”信息,使其弹出一个用户名/密码输入窗口。当用户输入用户名和密码后,包含有 URL 的 PHP 脚本将会加上预定义变量 PHP_AUTH_USER , PHP_AUTH_PW 和 AUTH_TYPE 被再次调用,这三个变量分别被设定为用户名,密码和认证类型。预定义变量保存在 $_SERVER 或者 $HTTP_SERVER_VARS 数组中。支持“Basic”和“Digest”(自 PHP 5.1.0 起)认证方法。感兴趣的朋友可以参阅header()函数相关信息。

PHP 版本问题: Autoglobals 全局变量,包括 $_SERVER 等,自 PHP 4.1.0 起有效, $HTTP_SERVER_VARS 从 PHP 3 开始有效。

以下是在页面上强迫客户端认证的脚本范例.

例子 34-1. Basic HTTP 认证范例

<?php 

   if (!isset( $_SERVER [ 'PHP_AUTH_USER' ])) {  

     header ( 'WWW-Authenticate: Basic realm="My Realm"' );  

     header ( 'HTTP/1.0 401 Unauthorized' );  

    echo 'Text to send if user hits Cancel button' ;  

    exit; 

  } else {  

    echo "<p>Hello { $_SERVER [ 'PHP_AUTH_USER' ]} .</p>" ;  

    echo "<p>You entered { $_SERVER [ 'PHP_AUTH_PW' ]} as your password.</p>" ;  

  }  

?>

例子 34-2. Digest HTTP 认证范例

本例演示怎样实现一个简单的 Digest HTTP 认证脚本,更多信息请参考 RFC 2617.

<?php  

$realm = 'Restricted area' ; 

//user => password  

$users = array( 'admin' => 'mypass' , 'guest' => 'guest' ); 

 

if (!isset( $_SERVER [ 'PHP_AUTH_DIGEST' ])) {  

     header ( 'HTTP/1.1 401 Unauthorized' );  

     header ( 'WWW-Authenticate: Digest realm="' . $realm .  

            '" qop="auth" nonce="' . uniqid (). '" opaque="' . md5 ( $realm ). '"' ); 

    die( 'Text to send if user hits Cancel button' );  

} 

// analize the PHP_AUTH_DIGEST variable  

preg_match ( '/username="(?P<username>.*)",s*realm="(?P<realm>.*)",s*nonce="(?P<nonce>.*)",s*uri="(?P<uri>.*)",s*response="(?P<response>.*)",s*opaque="(?P<opaque>.*)",s*qop=(?P<qop>.*),s*nc=(?P<nc>.*),s*cnonce="(?P<cnonce>.*)"/' , $_SERVER [ 'PHP_AUTH_DIGEST' ], $digest ); 

if (!isset( $users [ $digest [ 'username' ]]))  

    die( 'Username not valid!' ); 

 

// generate the valid response  

$A1 = md5 ( $digest [ 'username' ] . ':' . $realm . ':' . $users [ $digest [ 'username' ]]);  

$A2 = md5 ( $_SERVER [ 'REQUEST_METHOD' ]. ':' . $digest [ 'uri' ]);  

$valid_response = md5 ( $A1 . ':' . $digest [ 'nonce' ]. ':' . $digest [ 'nc' ]. ':' . $digest [ 'cnonce' ]. ':' . $digest [ 'qop' ]. ':' . $A2 ); 

if ( $digest [ 'response' ] != $valid_response )  

    die( 'Wrong Credentials!' ); 

// ok, valid username & password  

echo 'Your are logged in as: ' . $digest [ 'username' ]; 

?>

兼容性问题:在编写 HTTP 标头代码时请格外小心,为了对所有的客户端保证兼容性,关键字“Basic”的第一个字母必须大写为“B”,分界字符串必须用双引号(不是单引号)引用;并且在标头行 HTTP/1.0 401 中,在 401 前必须有且仅有一个空格.

在以上例子中,仅仅只打印出了 PHP_AUTH_USER 和 PHP_AUTH_PW 的值,但在实际运用中,可能需要对用户名和密码的合法性进行检查,或许进行数据库教程的查询,或许从 dbm 文件中检索.

注意有些 Internet Explorer 浏览器本身有问题。它对标头的顺序显得似乎有点吹毛求疵。目前看来在发送 HTTP/1.0 401 之前先发送 WWW-Authenticate 标头似乎可以解决此问题。

自 PHP 4.3.0 起,为了防止有人通过编写脚本来从用传统外部机制认证的页面上获取密码,当外部认证对特定页面有效,并且 安全模式 被开启时,PHP_AUTH 变量将不会被设置,但无论如何, REMOTE_USER 可以被用来辨认外部认证的用户,因此可以用 $_SERVER['REMOTE_USER'] 变量.

配置说明:PHP 用是否有 AuthType 指令来判断外部认证机制是否有效。

注意,这仍然不能防止有人通过未认证的 URL 来从同一服务器上认证的 URL 上偷取密码.

Netscape Navigator 和 Internet Explorer 浏览器都会在收到 401 的服务端返回信息时清空所有的本地浏览器整个域的 Windows 认证缓存,这能够有效的注销一个用户,并迫使他们重新输入他们的用户名和密码,有些人用这种方法来使登录状态“过期”,或者作为“注销”按钮的响应行为.

例子 34-3.强迫重新输入用户名和密码的 HTTP 认证的范例

<?php  

   function authenticate () {  

     header ( 'WWW-Authenticate: Basic realm="Test Authentication System"' ); 

     header ( 'HTTP/1.0 401 Unauthorized' );  

    echo "You must enter a valid login ID and password to access this resourcen" ;  

    exit;  

  } 

  if (!isset( $_SERVER [ 'PHP_AUTH_USER' ]) ||  

      ( $_POST [ 'SeenBefore' ] == 1 && $_POST [ 'OldAuth' ] == $_SERVER [ 'PHP_AUTH_USER' ])) {  

    authenticate ();  

  }  

  else {  

   echo "<p>Welcome: { $_SERVER [ 'PHP_AUTH_USER' ]} <br />" ;  

   echo "Old: { $_REQUEST [ 'OldAuth' ]} " ;  

   echo "<form action=' { $_SERVER [ 'PHP_SELF' ]} ' METHOD='post'> n " ;  

   echo "<input type='hidden' name='SeenBefore' value='1' />n" ;  

   echo "<input type='hidden' name='OldAuth' value=' { $_SERVER [ 'PHP_AUTH_USER' ]} ' /> n " ;  

   echo "<input type='submit' value='Re Authenticate' />n" ;  

   echo "</form></p>n" ;  

  } 

?>

该行为对于 HTTP 的 Basic 认证标准来说并不是必须的,因此不能依靠这种方法,对 Lynx 浏览器的测试表明 Lynx 在收到 401 的服务端返回信息时不会清空认证文件,因此只要对认证文件的检查要求没有变化,只要用户点击“后退”按钮,再点击“前进”按钮,其原有资源仍然能够被访问,不过,用户可以通过按“_”键来清空他们的认证信息.

在下例中,我们是使用$PHP_AUTH_USER和$PHP_AUTH_PW这两个变量来验证进入者是否合法并允许进入。在本例中被允许登录的用户名称和密码对分别为tnc和nature:

<?php 

if(!isset($PHP_AUTH_USER))  

{  

Header("WWW-Authenticate: Basic realm="My Realm"");  

Header("HTTP/1.0 401 Unauthorized");  

echo "Text to send if user hits Cancel buttonn";  

exit;  

}  

else  

{  

if ( !($PHP_AUTH_USER=="tnc" && $PHP_AUTH_PW=="nature") )  

{  

// 如果是错误的用户名称/密码对,强制再验证  

Header("WWW-Authenticate: Basic realm="My Realm"");  

Header("HTTP/1.0 401 Unauthorized");  

echo "ERROR : $PHP_AUTH_USER/$PHP_AUTH_PW is invalid.";  

exit;  

}  

else  

{  

echo "Welcome tnc!";  

}  

?>

事实上再实际引用中不大可能如上面使用代码段明显的用户名称/密码对,而是利用数据库或者加密的密码文件存取它们.

根据指定的验证信息核实用户身份:

首先,我们可以使用以下代码确定用户是否已经输入了用户名和密码,并显示出用户输入的信息.

<?php  

if (!isset($PHP_AUTH_USER)) {  

header('WWW-Authenticate: Basic realm="My Private Stuff"');  

header('HTTP/1.0 401 Unauthorized');  

echo 'Authorization Required.';  

exit;  

}  

else {  

echo "<P>You have entered this username: $PHP_AUTH_USER<br>  

You have entered this password: $PHP_AUTH_PW<br>  

The authorization type is: $PHP_AUTH_TYPE</p>";  

}  

?>

说明:

isset()函数用于确定某个变量是否已被赋值,根据变量值是否存在,返回true或false.

header()函数用于发送特定的HTTP标头,注意,使用header()函数时,一定要在任何产生实际输出的HTML或PHP代码前面调用该函数.

虽然上述代码相当简单,没有根据任何实际值对用户输入的用户名和密码进行有效验证,但是至少我们了解了如何使用PHP在客户端产生输入对话框.

下面,我们就来了解一下如何根据指定的验证信息核实用户身份,代码如下:

<?php  

if (!isset($PHP_AUTH_USER)) {  

header('WWW-Authenticate: Basic realm="My Private Stuff"');  

header('HTTP/1.0 401 Unauthorized');  

echo 'Authorization Required.';  

exit;  

}  

else if (isset($PHP_AUTH_USER)) {  

if (($PHP_AUTH_USER != "admin") || ($PHP_AUTH_PW != "123")) {  

header('WWW-Authenticate: Basic realm="My Private Stuff"');  

header('HTTP/1.0 401 Unauthorized');  

echo 'Authorization Required.';  

exit;  

} else {  

echo "<P>You're authorized!</p>";  

}  

}  

?>

在这里,我们首先检查用户是否已经输入了用户名称和密码,如果没有则弹出相应对话框要求用户输入身份信息,随后,我们通过判断用户输入的信息是否符合admin/123这一指定用户帐号来授予用户访问权限或提示用户再次输入正确的信息,这种方法适用于所有用户都使用同一登录帐号的网站.

另一种简易的密码验证

如果你是在windows98下面编写和运行着你的PHP脚本,或者是你在Linux下面按默认设置,将PHP安装成一个CGI程序的话,你将无法使用上面的PHP程序来实现验证功能,为此,无边给大家提供了另外一种简易的密码验证的方法,虽然实用性不大,但是拿来学习还是挺好的.

<?php 

if($_POST[Submit]=="提交"){  //如果用户提交了数据,则执行操作 

$password=$_POST[password];
//获取用户输入的数据,并保存在变量 password 中 

$cpassword=$_POST[cpassword];   //获取用户输入的确认数据,保存在变量 $cpassord 中 

if(emptyempty($password) || emptyempty($cpassword)) 

{ 

    die("密码不可空!"); 

} 

elseif ( ((strlen($password) < 5) || (strlen($password) > 15))) 

{ 

    die("密码长度在5和15之间"); 

} 

   //--- 值比较 

elseif ( !(strlen($password) == strlen($cpassword)) ) 

{ 

    die("两次输入密码不匹配! "); 

} 

elseif( !($password === $cpassword)) //值和数据类型比较 

{ 

   die("两次密码不匹配! "); 

} 

else  //循环输出密码,因为是密码所以输出*号  

{ 

    for ($i=0;$i<strlen($password);$i++) 

      { 

            echo "*"; 

      } 

} 

} 

?> 

<html> 

<head> 

<meta http-equiv="Content-Type" content="text/html; charset=gb2312"> 

<title>表单验证-密码字段验证</title> 

</head> 

<body> 

<form name="form1" method="post" action="<?=$_SERVER['PHP_SELF'] ?>"> 

请输入密码:<input type="text" name="password"><br> 

确认密码:<input type="password" name="cpassword"><br> 

<input type="submit" name="Submit" value="提交"> 

</form> 

</body> 

</html>

希望本文所述对大家的php程序设计有所帮助。

PHP 相关文章推荐
利用PHP和AJAX创建RSS聚合器的代码
Mar 13 PHP
php格式化工具Beautify PHP小小BUG
Apr 24 PHP
PHP 字符串加密函数(在指定时间内加密还原字符串,超时无法还原)
Apr 28 PHP
php删除与复制文件夹及其文件夹下所有文件的实现代码
Jan 23 PHP
PHP中的use关键字概述
Jul 23 PHP
PHP利用MySQL保存session的实现思路及示例代码
Sep 09 PHP
PHP图片处理之图片旋转和图片翻转实例
Nov 19 PHP
WordPress中&quot;无法将上传的文件移动至&quot;错误的解决方法
Jul 01 PHP
微信支付开发交易通知实例
Jul 12 PHP
PHP编程 SSO详细介绍及简单实例
Jan 13 PHP
yii2中dropDownList实现二级和三级联动写法
Apr 26 PHP
源码分析 Laravel 重复执行同一个队列任务的原因
Dec 25 PHP
php使用fputcsv()函数csv文件读写数据的方法
Jan 06 #PHP
phplot生成图片类用法详解
Jan 06 #PHP
写一段简单的PHP建立文件夹代码
Jan 06 #PHP
php读取flash文件高宽帧数背景颜色的方法
Jan 06 #PHP
php自动获取关键字的方法
Jan 06 #PHP
windows7下php开发环境搭建图文教程
Jan 06 #PHP
PHP中$this和$that指针使用实例
Jan 06 #PHP
You might like
phpmailer中文乱码问题的解决方法
2014/04/22 PHP
解析WordPress中函数钩子hook的作用及基本用法
2015/12/22 PHP
centos+php+coreseek+sphinx+mysql之一coreseek安装篇
2016/10/25 PHP
firefox下frameset取不到值的解决方法
2010/09/06 Javascript
php与js的区别是什么
2013/08/05 Javascript
JavaScript程序员应该知道的45个实用技巧
2014/03/04 Javascript
jquery使用jxl插件导出excel示例
2014/04/14 Javascript
javascript解析json数据的3种方式
2014/05/08 Javascript
jQuery标签编辑插件Tagit使用指南
2015/04/21 Javascript
JavaScript实现上下浮动的窗口效果代码
2015/10/12 Javascript
js实现导航栏中英文切换效果
2017/01/16 Javascript
javaScript基础详解
2017/01/19 Javascript
Vue.js通用应用框架-Nuxt.js的上手教程
2017/12/25 Javascript
原生JavaScript实现remove()和recover()功能示例
2018/07/24 Javascript
Vue请求JSON Server服务器数据的实现方法
2018/11/02 Javascript
微信小程序实现带参数的分享功能(两种方法)
2019/05/17 Javascript
深入解读Node.js中的koa源码
2019/06/17 Javascript
JS中循环遍历数组的四种方式总结
2021/01/23 Javascript
Python实现周期性抓取网页内容的方法
2015/11/04 Python
Python实现的破解字符串找茬游戏算法示例
2017/09/25 Python
详解Python中的正则表达式
2018/07/08 Python
python3 面向对象__类的内置属性与方法的实例代码
2018/11/09 Python
PyCharm搭建Spark开发环境实现第一个pyspark程序
2019/06/13 Python
python如何统计代码运行的时长
2019/07/24 Python
利用Python制作动态排名图的实现代码
2020/04/09 Python
Python实现捕获异常发生的文件和具体行数
2020/04/25 Python
python selenium 获取接口数据的实现
2020/12/07 Python
介绍一下MYSQL常用的优化技巧
2012/10/25 面试题
中专生毕业自我鉴定
2013/11/01 职场文书
创意活动策划书
2014/01/15 职场文书
好邻里事迹材料
2014/01/16 职场文书
国庆节文艺活动方案
2014/02/03 职场文书
经典公益广告词
2014/03/13 职场文书
2014年财务个人工作总结
2014/12/08 职场文书
未中标通知书
2015/04/17 职场文书
运动会闭幕式主持词
2015/07/01 职场文书