快捷導(dǎo)航

php基于表單密碼驗(yàn)證與HTTP驗(yàn)證用法實(shí)例

更新時(shí)間：2015年01月06日 14:35:27 投稿：shichen2014

這篇文章主要介紹了php基于表單密碼驗(yàn)證與HTTP驗(yàn)證用法,以實(shí)例形式較為詳細(xì)的分析了表單密碼驗(yàn)證與HTTP驗(yàn)證的原理與相關(guān)注意事項(xiàng),具有一定參考借鑒價(jià)值,需要的朋友可以參考下

本文實(shí)例講述了php基于表單密碼驗(yàn)證與HTTP驗(yàn)證用法。分享給大家供大家參考。具體分析如下：

PHP 的 HTTP 認(rèn)證機(jī)制僅在 PHP 以 Apache 模塊方式運(yùn)行時(shí)才有效，因此該功能不適用于 CGI 版本。在 Apache 模塊的 PHP 腳本中，可以用 header() 函數(shù)來向客戶端瀏覽器發(fā)送“Authentication Required”信息，使其彈出一個(gè)用戶名／密碼輸入窗口。當(dāng)用戶輸入用戶名和密碼后，包含有 URL 的 PHP 腳本將會(huì)加上預(yù)定義變量 PHP_AUTH_USER ， PHP_AUTH_PW 和 AUTH_TYPE 被再次調(diào)用，這三個(gè)變量分別被設(shè)定為用戶名，密碼和認(rèn)證類型。預(yù)定義變量保存在 $_SERVER 或者 $HTTP_SERVER_VARS 數(shù)組中。支持“Basic”和“Digest”（自 PHP 5.1.0 起）認(rèn)證方法。感興趣的朋友可以參閱header()函數(shù)相關(guān)信息。

PHP 版本問題: Autoglobals 全局變量，包括 $_SERVER 等，自 PHP 4.1.0 起有效， $HTTP_SERVER_VARS 從 PHP 3 開始有效。

以下是在頁面上強(qiáng)迫客戶端認(rèn)證的腳本范例.

例子 34-1. Basic HTTP 認(rèn)證范例

復(fù)制代碼代碼如下:

<?php 

   if (!isset( $_SERVER [ 'PHP_AUTH_USER' ])) {  

     header ( 'WWW-Authenticate: Basic realm="My Realm"' );  

     header ( 'HTTP/1.0 401 Unauthorized' );  

    echo 'Text to send if user hits Cancel button' ;  

    exit; 

  } else {  

    echo "<p>Hello { $_SERVER [ 'PHP_AUTH_USER' ]} .</p>" ;  

    echo "<p>You entered { $_SERVER [ 'PHP_AUTH_PW' ]} as your password.</p>" ;  

  }  

?>

例子 34-2. Digest HTTP 認(rèn)證范例

本例演示怎樣實(shí)現(xiàn)一個(gè)簡單的 Digest HTTP 認(rèn)證腳本,更多信息請(qǐng)參考 RFC 2617.

復(fù)制代碼代碼如下:

<?php  

$realm = 'Restricted area' ; 

//user => password  

$users = array( 'admin' => 'mypass' , 'guest' => 'guest' ); 

if (!isset( $_SERVER [ 'PHP_AUTH_DIGEST' ])) {  

     header ( 'HTTP/1.1 401 Unauthorized' );  

     header ( 'WWW-Authenticate: Digest realm="' . $realm .  

            '" qop="auth" nonce="' . uniqid (). '" opaque="' . md5 ( $realm ). '"' ); 

    die( 'Text to send if user hits Cancel button' );  

} 

// analize the PHP_AUTH_DIGEST variable  

preg_match ( '/username="(?P<username>.*)",s*realm="(?P<realm>.*)",s*nonce="(?P<nonce>.*)",s*uri="(?P<uri>.*)",s*response="(?P<response>.*)",s*opaque="(?P<opaque>.*)",s*qop=(?P<qop>.*),s*nc=(?P<nc>.*),s*cnonce="(?P<cnonce>.*)"/' , $_SERVER [ 'PHP_AUTH_DIGEST' ], $digest ); 

if (!isset( $users [ $digest [ 'username' ]]))  

    die( 'Username not valid!' ); 

// generate the valid response  

$A1 = md5 ( $digest [ 'username' ] . ':' . $realm . ':' . $users [ $digest [ 'username' ]]);  

$A2 = md5 ( $_SERVER [ 'REQUEST_METHOD' ]. ':' . $digest [ 'uri' ]);  

$valid_response = md5 ( $A1 . ':' . $digest [ 'nonce' ]. ':' . $digest [ 'nc' ]. ':' . $digest [ 'cnonce' ]. ':' . $digest [ 'qop' ]. ':' . $A2 ); 

if ( $digest [ 'response' ] != $valid_response )  

    die( 'Wrong Credentials!' ); 

// ok, valid username & password  

echo 'Your are logged in as: ' . $digest [ 'username' ]; 

?>

兼容性問題:在編寫 HTTP 標(biāo)頭代碼時(shí)請(qǐng)格外小心,為了對(duì)所有的客戶端保證兼容性,關(guān)鍵字“Basic”的第一個(gè)字母必須大寫為“B”,分界字符串必須用雙引號(hào)（不是單引號(hào)）引用；并且在標(biāo)頭行 HTTP/1.0 401 中,在 401 前必須有且僅有一個(gè)空格.

在以上例子中,僅僅只打印出了 PHP_AUTH_USER 和 PHP_AUTH_PW 的值,但在實(shí)際運(yùn)用中,可能需要對(duì)用戶名和密碼的合法性進(jìn)行檢查,或許進(jìn)行數(shù)據(jù)庫教程的查詢,或許從 dbm 文件中檢索.

注意有些 Internet Explorer 瀏覽器本身有問題。它對(duì)標(biāo)頭的順序顯得似乎有點(diǎn)吹毛求疵。目前看來在發(fā)送 HTTP/1.0 401 之前先發(fā)送 WWW-Authenticate 標(biāo)頭似乎可以解決此問題。

自 PHP 4.3.0 起,為了防止有人通過編寫腳本來從用傳統(tǒng)外部機(jī)制認(rèn)證的頁面上獲取密碼,當(dāng)外部認(rèn)證對(duì)特定頁面有效,并且安全模式被開啟時(shí),PHP_AUTH 變量將不會(huì)被設(shè)置,但無論如何, REMOTE_USER 可以被用來辨認(rèn)外部認(rèn)證的用戶,因此可以用 $_SERVER['REMOTE_USER'] 變量.

配置說明:PHP 用是否有 AuthType 指令來判斷外部認(rèn)證機(jī)制是否有效。

注意,這仍然不能防止有人通過未認(rèn)證的 URL 來從同一服務(wù)器上認(rèn)證的 URL 上偷取密碼.

Netscape Navigator 和 Internet Explorer 瀏覽器都會(huì)在收到 401 的服務(wù)端返回信息時(shí)清空所有的本地瀏覽器整個(gè)域的 Windows 認(rèn)證緩存,這能夠有效的注銷一個(gè)用戶,并迫使他們重新輸入他們的用戶名和密碼,有些人用這種方法來使登錄狀態(tài)“過期”,或者作為“注銷”按鈕的響應(yīng)行為.

例子 34-3.強(qiáng)迫重新輸入用戶名和密碼的 HTTP 認(rèn)證的范例

復(fù)制代碼代碼如下:

<?php  

   function authenticate () {  

     header ( 'WWW-Authenticate: Basic realm="Test Authentication System"' ); 

     header ( 'HTTP/1.0 401 Unauthorized' );  

    echo "You must enter a valid login ID and password to access this resourcen" ;  

    exit;  

  } 

  if (!isset( $_SERVER [ 'PHP_AUTH_USER' ]) ||  

      ( $_POST [ 'SeenBefore' ] == 1 && $_POST [ 'OldAuth' ] == $_SERVER [ 'PHP_AUTH_USER' ])) {  

    authenticate ();  

  }  

  else {  

   echo "<p>Welcome: { $_SERVER [ 'PHP_AUTH_USER' ]} <br />" ;  

   echo "Old: { $_REQUEST [ 'OldAuth' ]} " ;  

   echo "<form action=' { $_SERVER [ 'PHP_SELF' ]} ' METHOD='post'> n " ;  

   echo "<input type='hidden' name='SeenBefore' value='1' />n" ;  

   echo "<input type='hidden' name='OldAuth' value=' { $_SERVER [ 'PHP_AUTH_USER' ]} ' /> n " ;  

   echo "<input type='submit' value='Re Authenticate' />n" ;  

   echo "</form></p>n" ;  

  } 

?>

該行為對(duì)于 HTTP 的 Basic 認(rèn)證標(biāo)準(zhǔn)來說并不是必須的,因此不能依靠這種方法,對(duì) Lynx 瀏覽器的測(cè)試表明 Lynx 在收到 401 的服務(wù)端返回信息時(shí)不會(huì)清空認(rèn)證文件,因此只要對(duì)認(rèn)證文件的檢查要求沒有變化,只要用戶點(diǎn)擊“后退”按鈕,再點(diǎn)擊“前進(jìn)”按鈕,其原有資源仍然能夠被訪問,不過,用戶可以通過按“_”鍵來清空他們的認(rèn)證信息.

在下例中,我們是使用$PHP_AUTH_USER和$PHP_AUTH_PW這兩個(gè)變量來驗(yàn)證進(jìn)入者是否合法并允許進(jìn)入。在本例中被允許登錄的用戶名稱和密碼對(duì)分別為tnc和nature:

復(fù)制代碼代碼如下:

<?php 

if(!isset($PHP_AUTH_USER))  

{  

Header("WWW-Authenticate: Basic realm="My Realm"");  

Header("HTTP/1.0 401 Unauthorized");  

echo "Text to send if user hits Cancel buttonn";  

exit;  

}  

else  

{  

if ( !($PHP_AUTH_USER=="tnc" && $PHP_AUTH_PW=="nature") )  

{  

// 如果是錯(cuò)誤的用戶名稱/密碼對(duì)，強(qiáng)制再驗(yàn)證  

Header("WWW-Authenticate: Basic realm="My Realm"");  

Header("HTTP/1.0 401 Unauthorized");  

echo "ERROR : $PHP_AUTH_USER/$PHP_AUTH_PW is invalid.";  

exit;  

}  

else  

{  

echo "Welcome tnc!";  

}  

?>

事實(shí)上再實(shí)際引用中不大可能如上面使用代碼段明顯的用戶名稱/密碼對(duì),而是利用數(shù)據(jù)庫或者加密的密碼文件存取它們.

根據(jù)指定的驗(yàn)證信息核實(shí)用戶身份：

首先，我們可以使用以下代碼確定用戶是否已經(jīng)輸入了用戶名和密碼,并顯示出用戶輸入的信息.

復(fù)制代碼代碼如下:

<?php  

if (!isset($PHP_AUTH_USER)) {  

header('WWW-Authenticate: Basic realm="My Private Stuff"');  

header('HTTP/1.0 401 Unauthorized');  

echo 'Authorization Required.';  

exit;  

}  

else {  

echo "<P>You have entered this username: $PHP_AUTH_USER<br>  

You have entered this password: $PHP_AUTH_PW<br>  

The authorization type is: $PHP_AUTH_TYPE</p>";  

}  

?>

說明:

isset()函數(shù)用于確定某個(gè)變量是否已被賦值,根據(jù)變量值是否存在,返回true或false.

header()函數(shù)用于發(fā)送特定的HTTP標(biāo)頭,注意,使用header()函數(shù)時(shí),一定要在任何產(chǎn)生實(shí)際輸出的HTML或PHP代碼前面調(diào)用該函數(shù).

雖然上述代碼相當(dāng)簡單,沒有根據(jù)任何實(shí)際值對(duì)用戶輸入的用戶名和密碼進(jìn)行有效驗(yàn)證,但是至少我們了解了如何使用PHP在客戶端產(chǎn)生輸入對(duì)話框.

下面,我們就來了解一下如何根據(jù)指定的驗(yàn)證信息核實(shí)用戶身份,代碼如下:

復(fù)制代碼代碼如下:

<?php  

if (!isset($PHP_AUTH_USER)) {  

header('WWW-Authenticate: Basic realm="My Private Stuff"');  

header('HTTP/1.0 401 Unauthorized');  

echo 'Authorization Required.';  

exit;  

}  

else if (isset($PHP_AUTH_USER)) {  

if (($PHP_AUTH_USER != "admin") || ($PHP_AUTH_PW != "123")) {  

header('WWW-Authenticate: Basic realm="My Private Stuff"');  

header('HTTP/1.0 401 Unauthorized');  

echo 'Authorization Required.';  

exit;  

} else {  

echo "<P>You're authorized!</p>";  

}  

}  

?>

在這里,我們首先檢查用戶是否已經(jīng)輸入了用戶名稱和密碼,如果沒有則彈出相應(yīng)對(duì)話框要求用戶輸入身份信息,隨后,我們通過判斷用戶輸入的信息是否符合admin/123這一指定用戶帳號(hào)來授予用戶訪問權(quán)限或提示用戶再次輸入正確的信息,這種方法適用于所有用戶都使用同一登錄帳號(hào)的網(wǎng)站.

另一種簡易的密碼驗(yàn)證

如果你是在windows98下面編寫和運(yùn)行著你的PHP腳本,或者是你在Linux下面按默認(rèn)設(shè)置,將PHP安裝成一個(gè)CGI程序的話,你將無法使用上面的PHP程序來實(shí)現(xiàn)驗(yàn)證功能,為此,無邊給大家提供了另外一種簡易的密碼驗(yàn)證的方法,雖然實(shí)用性不大,但是拿來學(xué)習(xí)還是挺好的.

復(fù)制代碼代碼如下:

<?php 

if($_POST[Submit]=="提交"){  //如果用戶提交了數(shù)據(jù)，則執(zhí)行操作 

$password=$_POST[password];　　　　//獲取用戶輸入的數(shù)據(jù)，并保存在變量 password 中 

$cpassword=$_POST[cpassword];   //獲取用戶輸入的確認(rèn)數(shù)據(jù)，保存在變量 $cpassord 中 

if(emptyempty($password) || emptyempty($cpassword)) 

{ 

    die("密碼不可空!"); 

} 

elseif ( ((strlen($password) < 5) || (strlen($password) > 15))) 

{ 

    die("密碼長度在5和15之間"); 

} 

   //--- 值比較 

elseif ( !(strlen($password) == strlen($cpassword)) ) 

{ 

    die("兩次輸入密碼不匹配! "); 

} 

elseif( !($password === $cpassword)) //值和數(shù)據(jù)類型比較 

{ 

　  die("兩次密碼不匹配! "); 

} 

else  //循環(huán)輸出密碼，因?yàn)槭敲艽a所以輸出*號(hào)  

{ 

    for ($i=0;$i<strlen($password);$i++) 

      { 

            echo "*"; 

      } 

} 

} 

?> 

<html> 

<head> 

<meta http-equiv="Content-Type" content="text/html; charset=gb2312"> 

<title>表單驗(yàn)證-密碼字段驗(yàn)證</title> 

</head> 

<body> 

<form name="form1" method="post" action="<?=$_SERVER['PHP_SELF'] ?>"> 

請(qǐng)輸入密碼：<input type="text" name="password"><br> 

確認(rèn)密碼：<input type="password" name="cpassword"><br> 

<input type="submit" name="Submit" value="提交"> 

</form> 

</body> 

</html>