PHP中对用户身份认证实现两种方法
11 浏览量
2020-12-19
02:48:51
上传
评论
收藏 83KB PDF 举报
PHP中对用户身份认证实现两种方法中对用户身份认证实现两种方法
当访问者浏览受保护页面时,客户端浏览器会弹出对话窗口要求用户输入用户名和密码,对用户的身份进行验证,以决定用户
是否有权访问页面。下面用两种方法来说明其实现原理。
一、用 一、用HTTP标头来实现标头来实现
标头是服务器以HTTP协议传送HTML信息到浏览器前所送出的字串。HTTP采用一种挑战/响应模式对试图进入受密码保
护区域的用户进行身份验证。具体来说,当用户首次向WEB服务器发出访问受保护区域的请求时,挑战进程被启动,服务器
返回特殊的401标头,表明该用户身份未经验证。客户端浏览器在检测到上述响应之后自动弹出对话框,要求用户输入用户名
和密码。用户完成输入之后点击确定,其身份识别信息就被传送到服务端进行验证。如果用户输入的用户名和密码有
效,WEB服务器将允许用户进入受保护区域,并且在整个访问过程中保持其身份的有效性。相反,若用户输入的用户名称或
密码无法通过验证,客户端浏览器会不断弹出输入窗口要求用户再次尝试输入正确的信息。整个过程将一直持续到用户输入正
确的信息位置,也可以设定允许用户进行尝试的最大次数,超出时将自动拒绝用户的访问请求。
在PHP脚本中,使用函数header()直接给客户端的浏览器发送HTTP标头,这样在客户端将会自动弹出用户名和密码输入
窗口,来实现我们的身份认证功能。在PHP中,客户端用户输入的信息传送到服务器之后自动保存在
$PHP_AUTH_USER,$PHP_AUTH_PW,以及 $PHP_AUTH_TYPE这三个全局变量中。利用这三个变量,我们可以根据保存
在数据文件或者数据库中用户帐号信息来验证用户身份!
不过,需要提醒使用者注意的是:只有在以模块方式安装的PHP中才能使用$PHP_AUTH_USER,$PHP_AUTH_PW,以及
$PHP_AUTH_TYPE这三个变量。如果用户使用的是CGI模式的PHP则无法实现验证功能。在本节后附有PHP的模块方式安装
方法。
下面我们用Mysql数据库来存储用户的身份。我们需要从数据库中提取每个帐号的用户名和密码以便与
$PHP_AUTH_USER和$PHP_AUTH_PW变量进行比较,判断用户的真实性。
首先,在 首先,在MySql中建立一个存放用户信息的数据库中建立一个存放用户信息的数据库
数据库名为XinXiKu ,表名为user;表定义如下:
复制代码 代码如下:
create table user(
ID INT(4) NOT NULL AUTO_INCREMENT,
name VARCHAR(8) NOT NULL,
password CHAR(8) NOT NULL,
PRIMARY KEY(ID)
)
说明:
1、ID为一个序列号,不为零而且自动递增,为主键;
2、name为用户名,不能为空;
3、password为用户密码,不能为空;
以下是用户验证文件login.php
复制代码 代码如下:
//判断用户名是否设置
if(!isset($PHP_AUTH_USER))
{
header(“WWW-Authenticate:Basic realm=”身份验证功能””);
header(“HTTP/1.0 401 Unauthorized”);
echo “身份验证失败,您无权共享网络资源!”;
exit();
}
/*连接数据库*/
$db=mysql_connect(“localhost”,”root”,””);
//选择数据库
mysql_select_db(“XinXiKu”,$db);
//查询用户是否存在
$result=mysql_query(“SELECT * FROM user where name=’$PHP_AUTH_USER’ and password=’$PHP_AUTH_PW'”,$db);
if ($myrow = mysql_fetch_row($result))
{
//以下为身份验证成功后的相关操作
…
}
else
{
//身份验证不成功,提示用户重新输入
header(“WWW-Authenticate:Basic realm=”身份验证功能””);
header(“HTTP/1.0 401 Unauthorized”);
echo “身份验证失败,您无权共享网络资源!”;
exit();
}
?>
程序说明:程序说明:
资源评论
