php基于表單密碼驗證與HTTP驗證的用法

這篇文章主要講解了“php基于表單密碼驗證與HTTP驗證的用法”，文中的講解內容簡單清晰，易于學習與理解，下面請大家跟著小編的思路慢慢深入，一起來研究和學習“php基于表單密碼驗證與HTTP驗證的用法”吧！

代碼如下:

<?php
   if (!isset( $_SERVER [ 'PHP_AUTH_USER' ])) { 
     header ( 'WWW-Authenticate: Basic realm="My Realm"' ); 
     header ( 'HTTP/1.0 401 Unauthorized' ); 
    echo 'Text to send if user hits Cancel button' ; 
    exit;
  } else { 
    echo "<p>Hello { $_SERVER [ 'PHP_AUTH_USER' ]} .</p>" ; 
    echo "<p>You entered { $_SERVER [ 'PHP_AUTH_PW' ]} as your password.</p>" ; 
  } 
?>

例子 34-2. Digest HTTP 認證范例

本例演示怎樣實現一個簡單的 Digest HTTP 認證腳本,更多信息請參考 RFC 2617.

復制代碼 代碼如下:

<?php 
$realm = 'Restricted area' ;
//user => password 
$users = array( 'admin' => 'mypass' , 'guest' => 'guest' );
 
if (!isset( $_SERVER [ 'PHP_AUTH_DIGEST' ])) { 
     header ( 'HTTP/1.1 401 Unauthorized' ); 
     header ( 'WWW-Authenticate: Digest realm="' . $realm . 
            '" qop="auth" nonce="' . uniqid (). '" opaque="' . md5 ( $realm ). '"' );
    die( 'Text to send if user hits Cancel button' ); 
}
// analize the PHP_AUTH_DIGEST variable 
preg_match ( '/username="(?P<username>.*)",s*realm="(?P<realm>.*)",s*nonce="(?P<nonce>.*)",s*uri="(?P<uri>.*)",s*response="(?P<response>.*)",s*opaque="(?P<opaque>.*)",s*qop=(?P<qop>.*),s*nc=(?P<nc>.*),s*cnonce="(?P<cnonce>.*)"/' , $_SERVER [ 'PHP_AUTH_DIGEST' ], $digest );
if (!isset( $users [ $digest [ 'username' ]])) 
    die( 'Username not valid!' );
 
// generate the valid response 
$A1 = md5 ( $digest [ 'username' ] . ':' . $realm . ':' . $users [ $digest [ 'username' ]]); 
$A2 = md5 ( $_SERVER [ 'REQUEST_METHOD' ]. ':' . $digest [ 'uri' ]); 
$valid_response = md5 ( $A1 . ':' . $digest [ 'nonce' ]. ':' . $digest [ 'nc' ]. ':' . $digest [ 'cnonce' ]. ':' . $digest [ 'qop' ]. ':' . $A2 );
if ( $digest [ 'response' ] != $valid_response ) 
    die( 'Wrong Credentials!' );
// ok, valid username & password 
echo 'Your are logged in as: ' . $digest [ 'username' ];
?>

兼容性問題:在編寫 HTTP 標頭代碼時請格外小心,為了對所有的客戶端保證兼容性,關鍵字“Basic”的第一個字母必須大寫為“B”,分界字符串必須用雙引號（不是單引號）引用；并且在標頭行 HTTP/1.0 401 中,在 401 前必須有且僅有一個空格.

在以上例子中,僅僅只打印出了 PHP_AUTH_USER 和 PHP_AUTH_PW 的值,但在實際運用中,可能需要對用戶名和密碼的合法性進行檢查,或許進行數據庫教程的查詢,或許從 dbm 文件中檢索.

注意有些 Internet Explorer 瀏覽器本身有問題。它對標頭的順序顯得似乎有點吹毛求疵。目前看來在發送 HTTP/1.0 401 之前先發送 WWW-Authenticate 標頭似乎可以解決此問題。

自 PHP 4.3.0 起,為了防止有人通過編寫腳本來從用傳統外部機制認證的頁面上獲取密碼,當外部認證對特定頁面有效,并且 安全模式 被開啟時,PHP_AUTH 變量將不會被設置,但無論如何, REMOTE_USER 可以被用來辨認外部認證的用戶,因此可以用 $_SERVER['REMOTE_USER'] 變量.

配置說明:PHP 用是否有 AuthType 指令來判斷外部認證機制是否有效。

注意,這仍然不能防止有人通過未認證的 URL 來從同一服務器上認證的 URL 上偷取密碼.

Netscape Navigator 和 Internet Explorer 瀏覽器都會在收到 401 的服務端返回信息時清空所有的本地瀏覽器整個域的 Windows 認證緩存,這能夠有效的注銷一個用戶,并迫使他們重新輸入他們的用戶名和密碼,有些人用這種方法來使登錄狀態“過期”,或者作為“注銷”按鈕的響應行為.

例子 34-3.強迫重新輸入用戶名和密碼的 HTTP 認證的范例

復制代碼 代碼如下:

<?php 
   function authenticate () { 
     header ( 'WWW-Authenticate: Basic realm="Test Authentication System"' );
     header ( 'HTTP/1.0 401 Unauthorized' ); 
    echo "You must enter a valid login ID and password to access this resourcen" ; 
    exit; 
  }
  if (!isset( $_SERVER [ 'PHP_AUTH_USER' ]) || 
      ( $_POST [ 'SeenBefore' ] == 1 && $_POST [ 'OldAuth' ] == $_SERVER [ 'PHP_AUTH_USER' ])) { 
    authenticate (); 
  } 
  else { 
   echo "<p>Welcome: { $_SERVER [ 'PHP_AUTH_USER' ]} <br />" ; 
   echo "Old: { $_REQUEST [ 'OldAuth' ]} " ; 
   echo "<form action=' { $_SERVER [ 'PHP_SELF' ]} ' METHOD='post'> n " ; 
   echo "<input type='hidden' name='SeenBefore' value='1' />n" ; 
   echo "<input type='hidden' name='OldAuth' value=' { $_SERVER [ 'PHP_AUTH_USER' ]} ' /> n " ; 
   echo "<input type='submit' value='Re Authenticate' />n" ; 
   echo "</form></p>n" ; 
  }
?>

該行為對于 HTTP 的 Basic 認證標準來說并不是必須的,因此不能依靠這種方法,對 Lynx 瀏覽器的測試表明 Lynx 在收到 401 的服務端返回信息時不會清空認證文件,因此只要對認證文件的檢查要求沒有變化,只要用戶點擊“后退”按鈕,再點擊“前進”按鈕,其原有資源仍然能夠被訪問,不過,用戶可以通過按“_”鍵來清空他們的認證信息.

在下例中,我們是使用$PHP_AUTH_USER和$PHP_AUTH_PW這兩個變量來驗證進入者是否合法并允許進入。在本例中被允許登錄的用戶名稱和密碼對分別為tnc和nature:

復制代碼 代碼如下:

<?php
if(!isset($PHP_AUTH_USER)) 
{ 
Header("WWW-Authenticate: Basic realm="My Realm""); 
Header("HTTP/1.0 401 Unauthorized"); 
echo "Text to send if user hits Cancel buttonn"; 
exit; 
} 
else 
{ 
if ( !($PHP_AUTH_USER=="tnc" && $PHP_AUTH_PW=="nature") ) 
{ 
// 如果是錯誤的用戶名稱/密碼對，強制再驗證 
Header("WWW-Authenticate: Basic realm="My Realm""); 
Header("HTTP/1.0 401 Unauthorized"); 
echo "ERROR : $PHP_AUTH_USER/$PHP_AUTH_PW is invalid."; 
exit; 
} 
else 
{ 
echo "Welcome tnc!"; 
} 
?>

事實上再實際引用中不大可能如上面使用代碼段明顯的用戶名稱/密碼對,而是利用數據庫或者加密的密碼文件存取它們.

根據指定的驗證信息核實用戶身份：

首先，我們可以使用以下代碼確定用戶是否已經輸入了用戶名和密碼,并顯示出用戶輸入的信息.

復制代碼 代碼如下:

<?php 
if (!isset($PHP_AUTH_USER)) { 
header('WWW-Authenticate: Basic realm="My Private Stuff"'); 
header('HTTP/1.0 401 Unauthorized'); 
echo 'Authorization Required.'; 
exit; 
} 
else { 
echo "<P>You have entered this username: $PHP_AUTH_USER<br> 
You have entered this password: $PHP_AUTH_PW<br> 
The authorization type is: $PHP_AUTH_TYPE</p>"; 
} 
?>

說明:

isset()函數用于確定某個變量是否已被賦值,根據變量值是否存在,返回true或false.

header()函數用于發送特定的HTTP標頭,注意,使用header()函數時,一定要在任何產生實際輸出的HTML或PHP代碼前面調用該函數.

雖然上述代碼相當簡單,沒有根據任何實際值對用戶輸入的用戶名和密碼進行有效驗證,但是至少我們了解了如何使用PHP在客戶端產生輸入對話框.

下面,我們就來了解一下如何根據指定的驗證信息核實用戶身份,代碼如下:

復制代碼 代碼如下:

<?php 
if (!isset($PHP_AUTH_USER)) { 
header('WWW-Authenticate: Basic realm="My Private Stuff"'); 
header('HTTP/1.0 401 Unauthorized'); 
echo 'Authorization Required.'; 
exit; 
} 
else if (isset($PHP_AUTH_USER)) { 
if (($PHP_AUTH_USER != "admin") || ($PHP_AUTH_PW != "123")) { 
header('WWW-Authenticate: Basic realm="My Private Stuff"'); 
header('HTTP/1.0 401 Unauthorized'); 
echo 'Authorization Required.'; 
exit; 
} else { 
echo "<P>You're authorized!</p>"; 
} 
} 
?>

在這里,我們首先檢查用戶是否已經輸入了用戶名稱和密碼,如果沒有則彈出相應對話框要求用戶輸入身份信息,隨后,我們通過判斷用戶輸入的信息是否符合admin/123這一指定用戶帳號來授予用戶訪問權限或提示用戶再次輸入正確的信息,這種方法適用于所有用戶都使用同一登錄帳號的網站.

另一種簡易的密碼驗證

如果你是在windows98下面編寫和運行著你的PHP腳本,或者是你在Linux下面按默認設置,將PHP安裝成一個CGI程序的話,你將無法使用上面的PHP程序來實現驗證功能,為此,無邊給大家提供了另外一種簡易的密碼驗證的方法,雖然實用性不大,但是拿來學習還是挺好的.

復制代碼 代碼如下:

<?php
if($_POST[Submit]=="提交"){  //如果用戶提交了數據，則執行操作
$password=$_POST[password];　　　　//獲取用戶輸入的數據，并保存在變量 password 中
$cpassword=$_POST[cpassword];   //獲取用戶輸入的確認數據，保存在變量 $cpassord 中
if(emptyempty($password) || emptyempty($cpassword))
{
    die("密碼不可空!");
}
elseif ( ((strlen($password) < 5) || (strlen($password) > 15)))
{
    die("密碼長度在5和15之間");
}
   //--- 值比較
elseif ( !(strlen($password) == strlen($cpassword)) )
{
    die("兩次輸入密碼不匹配! ");
}
elseif( !($password === $cpassword)) //值和數據類型比較
{
　  die("兩次密碼不匹配! ");
}
else  //循環輸出密碼，因為是密碼所以輸出*號 
{
    for ($i=0;$i<strlen($password);$i++)
      {
            echo "*";
      }
}
}
?>
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=gb2312">
<title>表單驗證-密碼字段驗證</title>
</head>
<body>
<form name="form1" method="post" action="<?=$_SERVER['PHP_SELF'] ?>">
請輸入密碼：<input type="text" name="password"><br>
確認密碼：<input type="password" name="cpassword"><br>
<input type="submit" name="Submit" value="提交">
</form>
</body>
</html>

感謝各位的閱讀，以上就是“php基于表單密碼驗證與HTTP驗證的用法”的內容了，經過本文的學習后，相信大家對php基于表單密碼驗證與HTTP驗證的用法這一問題有了更深刻的體會，具體使用情況還需要大家實踐驗證。這里是億速云，小編將為大家推送更多相關知識點的文章，歡迎關注！