Web页面认证 有哪几种？

Web页面认证 有哪几种？

作者： 不详 加入时间： 2004-03-11 浏览次数： 124 <P><FONT color=#000000>有两种： </FONT></P> <P><FONT color=#000000>一种是：SESSION，另一种是HTTP认证 </FONT></P> <P><FONT color=#000000>下面是PHP中文手册的例子： </FONT></P> <P><BR><FONT color=#000000>-------------------------------------------------------------------------------- <BR>用户认证&nbsp; <BR>-------------------------------------------------------------------------------- <BR>&nbsp; </FONT></P> <P><BR><FONT color=#000000>在专门□ Web 网站上，常常会需要用户的帐号及密码，也就是身份确认的步骤。早期的 NCSA httpd 服务器并没有提供这项用户确认的功能，Webmaster 只能用手工打造一个身份确认的 CGI 程序。&nbsp; <BR>自 CERN httpd 之后的 Web 服务器大部份都提供了用户身份确认的功能。仅管每套 Web 服务器的配置都不太相同，但在配置上都大同小异。&nbsp; </FONT></P> <P><FONT color=#000000>以下就是 Apache 服务器上的用户身份确认的配置。 </FONT></P> <P><BR><FONT color=#000000>&lt;Directory /home/MyMember&gt; <BR>AuthType Basic <BR>AuthName MyMember <BR>AuthUserFile /usr/local/MyMember.txt <BR>Options Includes ExecCGI <BR>&lt;Limit GET POST&gt; <BR>require valid-user <BR>&lt;/Limit&gt; <BR>&lt;/Directory&gt; </FONT></P> <P><FONT color=#000000>在这个例子中，当用户在看 MyMember 目录下所有的文件，包括图片文件及其它各式文件时，都需要用户的帐号密码确认。而用户的帐号及密码文件都存在於 /usr/local/MyMember.txt 之中。 </FONT></P> <P><FONT color=#000000>这个帐号密码文件 /usr/local/MyMember.txt 的样子可能如下例。其中冒号前的字符串是用户帐号，冒号之后的字符串是经过不可还原加密的密码，编码一般都是使用传统的 DES 编码，密码的头两个字是类似种子的字符 (salt)，本例中都是 3P。每行代表一位用户。当然 Webmaster 要自行控制重覆帐号的情形。比较特殊是在 Win32 系统上架 Apache 的情形，冒号后的密码不可加密，因為 Win32 没有提供这方面的编码 API，因此用户密码以明码的方式存在。 </FONT></P> <P><BR><FONT color=#000000>john1234:3PWudBlJMiwro <BR>queenwan:3PFNVLNPN9W0M <BR>noname00:3PEsXaJx5pk7E <BR>wilson49:3PjoWb0EnaG22 <BR>rootboot:3PIt0snI6.84E <BR>sun_moon:3PvymMeNOc.x. <BR>nobody38:3PbskPKwV94hw </FONT></P> <P><FONT color=#000000>在 Apache 1.3.6 版上，可以用 ~apache/bin/htpasswd 来產生单笔的帐号及密码，但对於需要大笔资料的商业网站，可能就需要自行写程序来处理了。UNIX 上需要调用 crypt() 来处理编码。&nbsp; </FONT></P> <P><FONT color=#000000>&nbsp; </FONT></P> <P><FONT color=#000000>在一切都配置好了之后，连接时就会在瀏览器出现查核密码的窗口，如上图就是 SEEDNet 的 MySEED 网站的用户查核机制。在输入了帐号及密码后，瀏览器会将它用 BASE64 编码后，传到服务器端。当然 BASE64 只是编码不是加密，因此在网络上这种传输的安全性仍然不高，还是有可能被中间的刽客截下，再将 BASE64 还原，这也是整个用户认证中最美中不足的地方，或许日后支持摘要认证 (Digest) 及使用 MD5 编码后，可以解决这种问题。之后每一页仍然需要帐号及密码，只不过瀏览器会帮你主动送出，不用再输入帐号密码了。这方面瀏览器会保留到被关闭為止，下次重执行瀏览器仍需输入第一次。 </FONT></P> <P><FONT color=#000000>在用户数量少时，使用上述的方法轻鬆又省事。但是在用户有数万人，甚至数十万人时，会发生整个服务器的效率都被搜寻帐号密码下拖垮，可能读取一页需要数十秒到数分鐘。这种情形再使用服务器提供的密码查核机制就不太明智了。在 Netscape Enterprise Server 上可能就可以使用 NSAPI 来开发自己的查核方式，在 IIS 上也可以用 ISAPI 过滤器开发。写 C/C++ 程序调用 NSAPI/ISAPI 总是很累，在 PHP 上有了另外的选择，这也是本节的主题。 </FONT></P> <P><FONT color=#000000></FONT>&nbsp;</P> <P><FONT color=#000000>-------------------------------------------------------------------------------- </FONT></P> <P><FONT color=#000000>整理: sadly (</FONT><A href="http://www.phpx.com"><FONT color=#000000>www.phpx.com</FONT></A><FONT color=#000000>) <BR>PHP 的 HTTP 相关函数库提供了 header() 的函数。许多 Web 服务器与客户端的互动，都可以使用这个函数来变戏法。例如在某个 PHP 页面最开始处，也就是第一行或第二行，加入以下的程序，可以将用户重定向到作者的网页。 </FONT></P> <P><BR><FONT color=#000000>&lt;?php <BR>header("Location: </FONT><A href="http://wilson.gs"><FONT color=#000000>http://wilson.gs</FONT></A><FONT color=#000000>"); <BR>exit; <BR>?&gt; <BR>&nbsp; </FONT></P> <P><FONT color=#000000>当然，在上述程序之后的 HTML 文字或者是 PHP 程序都永远不会出现在用户端了。 </FONT></P> <P><FONT color=#000000>同样的道理，我们就用 header() 来变用户认证的把戏。可以在 PHP 的最开头送出字符串到用户端，就会在用户端出现下图的窗口。 </FONT></P> <P><BR><FONT color=#000000>&lt;?php <BR>Header("WWW-Authenticate: Basic realm=/"Member/""); <BR>Header("HTTP/1.0 401 Unauthorized"); <BR>?&gt; <BR>&nbsp; </FONT></P> <P><FONT color=#000000>&nbsp; </FONT></P> <P><FONT color=#000000>在程序中字符串 realm=/"Member/" 中的 Member 字样出现在图中，当然若使用中文字取代，瀏览器端也会出现中文字，如上面的 MySEED 图。若 Web 网站用户还有其它语文，如英文或日文，送出中文的 realm 字符串似乎就比较不合适。无论如何，这都要视网站的性质及用户定位而决定。 </FONT></P> <P><FONT color=#000000>当然这还是很粗糙，因為除了送出窗口后，就没有下文了，帐号输入正确也好，输入错误也罢，都不会有任何的结果。我们需要再更进阶的程序来处理。 </FONT></P> <P><FONT color=#000000></FONT>&nbsp;</P> <P><FONT color=#000000>-------------------------------------------------------------------------------- </FONT></P> <P><FONT color=#000000>整理: sadly (</FONT><A href="http://www.phpx.com"><FONT color=#000000>www.phpx.com</FONT></A><FONT color=#000000>) <BR>在后端的使用认证上，考虑使用数据库作為储存帐号及密码的后端，在这种架构可以容纳许多的用户，管它一万个用户还是十万个用户。若您的站已有数十万个用户帐号，那麼恭喜您，您的站算是世界级的大站了。MySQL 是个不错的选择，许多网站，甚至是商业化的网站都用它来做后端的数据库。当然您要架真正的商业网站，钱不是问题的话，那可以使用口碑最广的 Oracle 数据库系列。 </FONT></P> <P><FONT color=#000000>要在 PHP 中使用任何数据库，都要先将数据库的服务器端及客户端配置好，之后才编译 PHP 及 Apache 系统。 </FONT></P> <P><FONT color=#000000>準备好 MySQL 及 PHP 之后，先在 MySQL 中加入新的数据库，本例是加入 mymember，用别的名字当然也可以。MySQL 要加入数据库 (Database) 很容易，只要在 MySQL 存放 Database 的地方 mkdir 就可以了。例如在 UNIX Shell 下打 </FONT></P> <P><FONT color=#000000>hahaha:/usr/local/mysql/data# mkdir mymember </FONT></P> <P><FONT color=#000000>在建立了数据库之后，尚需要建立资料表格 (Table) 方能使用。配置的表格如下，可以将它储在 /tmp/memberauth.sql 中 </FONT></P> <P><BR><FONT color=#000000>CREATE TABLE MemberAuth ( <BR>&nbsp; Serial mediumint(9) NOT NULL auto_increment, <BR>&nbsp; Username char(8) NOT NULL, <BR>&nbsp; Password char(8) NOT NULL, <BR>&nbsp; Enable char(1) DEFAULT '0' NOT NULL, <BR>&nbsp; PRIMARY KEY (Serial) <BR>); </FONT></P> <P><FONT color=#000000>文件 memberauth.sql&nbsp; </FONT></P> <P><FONT color=#000000>先看看 memberauth.sql 的这些字段。Serial 是个自动增加的整数字段，每输入一笔资料，就会自动加一，这当然不能是空的字段，於是就用 NOT NULL 了。第两个字段是 Username，代表用户的帐号，為了统一以及适应各系统起见，配置成八个字，当然这个字段也不能是空的。Password 是第三个字段，為用户的密码。第四个字段 Enable 做為帐号是否有效的标誌，设计上 0 表示无用，1 表可用，日后还可加入其它值做不同的用途。 </FONT></P> <P><FONT color=#000000>设计好了资料表之后，就要将资料表加入数据库了。由於常要使用 MySQL 数据库，可以到 </FONT><A href="http://www.phpwizard.net/phpMyAdmin"><FONT color=#000000>http://www.phpwizard.net/phpMyAdmin</FONT></A><FONT color=#000000> 下载 phpMyAdmin，使用瀏览器操作及管理 MySQL，轻鬆又方便。若使用这套 phpMyAdmin 可以在它的用户界面上输入 memberauth.sql 加入 MySQL 中。或者也可以在 UNIX Shell 下输入下式，也是有同样的效果。&nbsp; </FONT></P> <P><FONT color=#000000>mysql mymember &lt; /tmp/memberauth.sql </FONT></P> <P><FONT color=#000000>在準备好了之后，就可以输入用户帐号及密码在 memberauth 资料表中了。当然还是使用 phpMyAdmin 方便，用 mysql 程序就要一笔笔的 INSERT 了。 </FONT></P> <P><FONT color=#000000></FONT>&nbsp;</P> <P><FONT color=#000000>接著进入了设计函数的阶段了。 </FONT></P> <P><BR><FONT color=#000000>&lt;?php <BR>//--------------------------- <BR>// 用户认证函数 auth.inc <BR>// Author: Wilson Peng <BR>// Copyright (C) 1999 <BR>//--------------------------- <BR>$error401 = "/home/phpdocs/error/401.php"; <BR>if ($PHP_AUTH_PW=="") { <BR>Header("WWW-Authenticate: Basic realm=/"超金卡会员/""); <BR>Header("HTTP/1.0 401 Unauthorized"); <BR>include($error401); <BR>exit; <BR>} else { </FONT></P> <P><FONT color=#000000>$db_id = mysql_pconnect("localhost", "myid", "mypw"); <BR>$result = mysql_db_query("mymember","select password, enable from MemberAuth where username='$PHP_AUTH_USER'"); </FONT></P> <P><FONT color=#000000>$row = mysql_fetch_array($result); <BR>$MemberPasswd = $row<BR>; <BR>$MemberEnable = $row[1]; <BR>if ($MemberEnable==0) { <BR>echo "您的帐号被停用了"; <BR>exit; <BR>} </FONT></P> <P><FONT color=#000000>if ($PHP_AUTH_PW!=$MemberPasswd) { <BR>Header("WWW-Authenticate: Basic realm=/"超金卡会员/""); <BR>Header("HTTP/1.0 401 Unauthorized"); <BR>include($error401); <BR>exit; <BR>} <BR>} <BR>?&gt; </FONT></P> <P><FONT color=#000000>Copyright (C) 1999, Wilson Peng&nbsp; </FONT></P> <P><FONT color=#000000>要使用这个 auth.inc，要在每个 PHP 的第一行加入&nbsp; <BR>&lt;? require("auth.inc"); ?&gt; 。在加入本程序的 PHP 文件都会检查帐号密码，图片等就不会检查，比起使用 Web 服务器功能的某目录下全都检查，PHP 显得有弹性多了。 </FONT></P> <P><FONT color=#000000>$error401 = "/home/phpdocs/error/401.php"; </FONT></P> <P><FONT color=#000000>这行表示在用户按下取消，或检查失败时，要显示给用户看的文件。 </FONT></P> <P><FONT color=#000000>if ($PHP_AUTH_PW=="") { <BR>&nbsp; Header("WWW-Authenticate: Basic realm=/"超金卡会员/""); <BR>&nbsp; Header("HTTP/1.0 401 Unauthorized"); <BR>&nbsp; include($error401); <BR>&nbsp; exit; <BR>} else { </FONT></P> <P><FONT color=#000000>到 else 之前，若没有传入密码，则送出输入密码的窗口。其中的 $PHP_AUTH_USER、$PHP_AUTH_PW 是 PHP 中特殊的变量，分别代表用户确认的帐号及密码。上面的程序也是利用这两个变量来处理用户认证。&nbsp; </FONT></P> <P><FONT color=#000000>&nbsp; </FONT></P> <P><FONT color=#000000>&nbsp; $db_id = mysql_pconnect("localhost", "myid", "mypw"); <BR>&nbsp; $result = mysql_db_query("mymember","select password, enable from MemberAuth where username='$PHP_AUTH_USER'"); </FONT></P> <P><FONT color=#000000>&nbsp; $row = mysql_fetch_array($result); <BR>&nbsp; $MemberPasswd = $row<BR>; <BR>&nbsp; $MemberEnable = $row[1]; </FONT></P> <P><FONT color=#000000>若用户有输入帐号及密码，则向数据库查询。同时查核该用户是否仍可使用。 </FONT></P> <P><FONT color=#000000>&nbsp; if ($MemberEnable==0) { <BR>&nbsp;&nbsp;&nbsp; echo "您的帐号被停用了"; <BR>&nbsp;&nbsp;&nbsp; exit; <BR>&nbsp; } </FONT></P> <P><FONT color=#000000>上四行程序為帐号被停用的情形。 </FONT></P> <P><FONT color=#000000>&nbsp; if ($PHP_AUTH_PW!=$MemberPasswd) { <BR>&nbsp;&nbsp;&nbsp; Header("WWW-Authenticate: Basic realm=/"超金卡会员/""); <BR>&nbsp;&nbsp;&nbsp; Header("HTTP/1.0 401 Unauthorized"); <BR>&nbsp;&nbsp;&nbsp; include($error401); <BR>&nbsp;&nbsp;&nbsp; exit; <BR>&nbsp; } </FONT></P> <P><FONT color=#000000>密码错误则再次向用户要求输入帐号及密码。 </FONT></P> <P><FONT color=#000000>在实际使用时，可以视需要加入的网页再加入 auth.inc 这个文件，就不用连看张图形也要查一次密码，轿募□服务器和用户二端的资源。当然，和 MySQL 的连繫上，可以使用 mysql_pconnect() 一直和 MySQL 服务器连接。或是使用 mysql_connect() 每次重新连接，用这个函数要记得早点使用 mysql_close() 将数据库关闭。下面的程序 auth1.inc 是另一版本的认证程序，就是打开连接后马上关闭，释放资源的例子。 </FONT></P> <P><BR><FONT color=#000000>&lt;?php <BR>//--------------------------- <BR>// 用户认证函数-1 auth1.inc <BR>// Author: Wilson Peng <BR>// Copyright (C) 1999 <BR>//--------------------------- <BR>$error401 = "/home/phpdocs/error/401.php"; <BR>if ($PHP_AUTH_PW=="") { <BR>Header("WWW-Authenticate: Basic realm=/"超金卡会员/""); <BR>Header("HTTP/1.0 401 Unauthorized"); <BR>include($error401); <BR>exit; <BR>} else { </FONT></P> <P><FONT color=#000000>$db_id = mysql_connect("localhost", "myid", "mypw"); <BR>$result = mysql_db_query("mymember","select password, enable from MemberAuth where username='$PHP_AUTH_USER'"); </FONT></P> <P><FONT color=#000000>$row = mysql_fetch_array($result); <BR>$MemberPasswd = $row<BR>; <BR>$MemberEnable = $row[1]; <BR>mysql_close($db_id); <BR>if ($MemberEnable==0) { <BR>echo "您的帐号被停用了"; <BR>exit; <BR>} </FONT></P> <P><FONT color=#000000>if ($PHP_AUTH_PW!=$MemberPasswd) { <BR>Header("WWW-Authenticate: Basic realm=/"超金卡会员/""); <BR>Header("HTTP/1.0 401 Unauthorized"); <BR>include($error401); <BR>exit; <BR>} <BR>} <BR>?&gt;&nbsp; </FONT></P>