php 基于表单密码验证与HTTP验证用法

 PHP 的 HTTP 认证机制仅在 PHP 以 Apache 模块方式运行时才有效,因此该功能不适用于 CGI 版本。在 Apache 模块的 PHP 脚本中,可以用 header() 函数来向客户端浏览器发送“Authentication Required”信息,使其弹出一个用户名/密码输入窗口。当用户输入用户名和密码后,包含有 URL 的 PHP 脚本将会加上 预定义变量 PHP_AUTH_USER , PHP_AUTH_PW 和 AUTH_TYPE 被再次调用,这三个变量分别被设定为用户名,密码和认证类型。预定义变量保存在 $_SERVER 或者 $HTTP_SERVER_VARS 数组中。支持“Basic”和“Digest”(自 PHP 5.1.0 起)认证方法。请参阅 header() 函数以获取更多信息。

PHP 版本问题: Autoglobals 全局变量,包括 $_SERVER 等,自 PHP 4.1.0 起有效, $HTTP_SERVER_VARS 从 PHP 3 开始有效。

以下是在页面上强迫客户端认证的脚本范例:

例子 34-1. Basic HTTP 认证范例

<?php教程
   if (!isset( $_SERVER [ 'PHP_AUTH_USER' ])) {
     header ( 'WWW-Authenticate: Basic realm="My Realm"' );
     header ( 'HTTP/1.0 401 Unauthorized' );
    echo 'Text to send if user hits Cancel button' ;
    exit;
  } else {
    echo "<p>Hello { $_SERVER [ 'PHP_AUTH_USER' ]} .</p>" ;
    echo "<p>You entered { $_SERVER [ 'PHP_AUTH_PW' ]} as your password.</p>" ;
  }
?> 
 

例子 34-2. Digest HTTP 认证范例

本例演示怎样实现一个简单的 Digest HTTP 认证脚本。更多信息请参考 RFC 2617 。

<?php
$realm = 'Restricted area' ;

//user => password
$users = array( 'admin' => 'mypass' , 'guest' => 'guest' );

if (!isset( $_SERVER [ 'PHP_AUTH_DIGEST' ])) {
     header ( 'HTTP/1.1 401 Unauthorized' );
     header ( 'WWW-Authenticate: Digest realm="' . $realm .
            '" qop="auth" nonce="' . uniqid (). '" opaque="' . md5 ( $realm ). '"' );

    die( 'Text to send if user hits Cancel button' );
}

// analize the PHP_AUTH_DIGEST variable
preg_match ( '/username="(?P<username>.*)",s*realm="(?P<realm>.*)",s*nonce="(?P<nonce>.*)",s*uri="(?P<uri>.*)",s*response="(?P<response>.*)",s*opaque="(?P<opaque>.*)",s*qop=(?P<qop>.*),s*nc=(?P<nc>.*),s*cnonce="(?P<cnonce>.*)"/' , $_SERVER [ 'PHP_AUTH_DIGEST' ], $digest );

if (!isset( $users [ $digest [ 'username' ]]))
    die( 'Username not valid!' );

// generate the valid response
$A1 = md5 ( $digest [ 'username' ] . ':' . $realm . ':' . $users [ $digest [ 'username' ]]);
$A2 = md5 ( $_SERVER [ 'REQUEST_METHOD' ]. ':' . $digest [ 'uri' ]);
$valid_response = md5 ( $A1 . ':' . $digest [ 'nonce' ]. ':' . $digest [ 'nc' ]. ':' . $digest [ 'cnonce' ]. ':' . $digest [ 'qop' ]. ':' . $A2 );

if ( $digest [ 'response' ] != $valid_response )
    die( 'Wrong Credentials!' );

// ok, valid username & password
echo 'Your are logged in as: ' . $digest [ 'username' ];

?> 

 

兼容性问题: 在编写 HTTP 标头代码时请格外小心。为了对所有的客户端保证兼容性,关键字“Basic”的第一个字母必须大写为“B”,分界字符串必须用双引号(不是单引号)引用;并且在标头行 HTTP/1.0 401 中,在 401 前必须有且仅有一个空格。

在以上例子中,仅仅只打印出了 PHP_AUTH_USER 和 PHP_AUTH_PW 的值,但在实际运用中,可能需要对用户名和密码的合法性进行检查。或许进行数据库教程的查询,或许从 dbm 文件中检索。

注意有些 Internet Explorer 浏览器本身有问题。它对标头的顺序显得似乎有点吹毛求疵。目前看来在发送 HTTP/1.0 401 之前先发送 WWW-Authenticate 标头似乎可以解决此问题。

自 PHP 4.3.0 起,为了防止有人通过编写脚本来从用传统外部机制认证的页面上获取密码,当外部认证对特定页面有效,并且 安全模式 被开启时,PHP_AUTH 变量将不会被设置。但无论如何, REMOTE_USER 可以被用来辨认外部认证的用户,因此可以用 $_SERVER['REMOTE_USER'] 变量。

配置说明: PHP 用是否有 AuthType 指令来判断外部认证机制是否有效。

注意,这仍然不能防止有人通过未认证的 URL 来从同一服务器上认证的 URL 上偷取密码。

Netscape Navigator 和 Internet Explorer 浏览器都会在收到 401 的服务端返回信息时清空所有的本地浏览器整个域的 Windows 认证缓存。这能够有效的注销一个用户,并迫使他们重新输入他们的用户名和密码。有些人用这种方法来使登录状态“过期”,或者作为“注销”按钮的响应行为。

例子 34-3. 强迫重新输入用户名和密码的 HTTP 认证的范例

<?php
   function authenticate () {
     header ( 'WWW-Authenticate: Basic realm="Test Authentication System"' );
     header ( 'HTTP/1.0 401 Unauthorized' );
    echo "You must enter a valid login ID and password to access this resourcen" ;
    exit;
  }

  if (!isset( $_SERVER [ 'PHP_AUTH_USER' ]) ||
      ( $_POST [ 'SeenBefore' ] == 1 && $_POST [ 'OldAuth' ] == $_SERVER [ 'PHP_AUTH_USER' ])) {
    authenticate ();
  }
  else {
   echo "<p>Welcome: { $_SERVER [ 'PHP_AUTH_USER' ]} <br />" ;
   echo "Old: { $_REQUEST [ 'OldAuth' ]} " ;
   echo "<form action=' { $_SERVER [ 'PHP_SELF' ]} ' METHOD='post'> n " ;
   echo "<input type='hidden' name='SeenBefore' value='1' />n" ;
   echo "<input type='hidden' name='OldAuth' value=' { $_SERVER [ 'PHP_AUTH_USER' ]} ' /> n " ;
   echo "<input type='submit' value='Re Authenticate' />n" ;
   echo "</form></p>n" ;
  } 

 

该行为对于 HTTP 的 Basic 认证标准来说并不是必须的,因此不能依靠这种方法。对 Lynx 浏览器的测试表明 Lynx 在收到 401 的服务端返回信息时不会清空认证文件,因此只要对认证文件的检查要求没有变化,只要用户点击“后退”按钮,再点击“前进”按钮,其原有资源仍然能够被访问。不过,用户可以通过按“_”键来清空他们的认证信息
 

  在下例中,我们是使用$PHP_AUTH_USER和$PHP_AUTH_PW这两个变量来验证进入者是否合法并允许进入。在本例中被允许登录的用户名称和密码对分别为tnc和nature: 

<? 

if(!isset($PHP_AUTH_USER)) 

Header("WWW-Authenticate: Basic realm="My Realm""); 

Header("HTTP/1.0 401 Unauthorized"); 

echo "Text to send if user hits Cancel buttonn"; 

exit; 

else 

if ( !($PHP_AUTH_USER=="tnc" && $PHP_AUTH_PW=="nature") ) 

// 如果是错误的用户名称/密码对,强制再验证 

Header("WWW-Authenticate: Basic realm="My Realm""); 

Header("HTTP/1.0 401 Unauthorized"); 

echo "ERROR : $PHP_AUTH_USER/$PHP_AUTH_PW is invalid."; 

exit; 

else 

echo "Welcome tnc!"; 

?> 

  事实上再实际引用中不大可能如上面使用代码段明显的用户名称/密码对,而是利用数据库或者加密的密码文件存取它们。 

6.3 根据指定的验证信息核实用户身份 

  首先,我们可以使用以下代码确定用户是否已经输入了用户名和密码,并显示出用户输入的信息。 

<?php 

if (!isset($PHP_AUTH_USER)) { 

header(’WWW-Authenticate: Basic realm="My Private Stuff"’); 

header(’HTTP/1.0 401 Unauthorized’); 

echo ’Authorization Required.’; 

exit; 

else { 

echo "<P>You have entered this username: $PHP_AUTH_USER<br> 

You have entered this password: $PHP_AUTH_PW<br> 

The authorization type is: $PHP_AUTH_TYPE</p>"; 

?> 

说明: 

isset()函数用于确定某个变量是否已被赋值。根据变量值是否存在,返回true或false。 

header()函数用于发送特定的HTTP标头。注意,使用header()函数时,一定要在任何产生实际输出的HTML或PHP代码前面调用该函数。 

  虽然上述代码相当简单,没有根据任何实际值对用户输入的用户名和密码进行有效验证,但是至少我们了解了如何使用PHP在客户端产生输入对话框。 

  下面,我们就来了解一下如何根据指定的验证信息核实用户身份。代码如下: 

<?php 

if (!isset($PHP_AUTH_USER)) { 

header(’WWW-Authenticate: Basic realm="My Private Stuff"’); 

header(’HTTP/1.0 401 Unauthorized’); 

echo ’Authorization Required.’; 

exit; 

else if (isset($PHP_AUTH_USER)) { 

if (($PHP_AUTH_USER != "admin") || ($PHP_AUTH_PW != "123")) { 

header(’WWW-Authenticate: Basic realm="My Private Stuff"’); 

header(’HTTP/1.0 401 Unauthorized’); 

echo ’Authorization Required.’; 

exit; 

} else { 

echo "<P>You’re authorized!</p>"; 

?> 

  在这里,我们首先检查用户是否已经输入了用户名称和密码,如果没有则弹出相应对话框要求用户输入身份信息。随后,我们通过判断用户输入的信息是否符合admin/123这一指定用户帐号来授予用户访问权限或提示用户再次输入正确的信息。这种方法适用于所有用户都使用同一登录帐号的网站。 

6.4 另一种简易的密码验证 

  如果你是在windows98下面编写和运行着你的PHP脚本,或者是你在Linux下面按默认设置,将PHP安装成一个CGI程序的话,你将无法使用上面的PHP程序来实现验证功能。为此,无边给大家提供了另外一种简易的密码验证的方法。虽然实用性不大,但是拿来学习还是挺好的。 

<?php
if($_POST[Submit]=="提交"){  //如果用户提交了数据,则执行操作
$password=$_POST[password];    //获取用户输入的数据,并保存在变量 password 中
$cpassword=$_POST[cpassword];   //获取用户输入的确认数据,保存在变量 $cpassord 中
if(empty($password) || empty($cpassword))
{
    die("密码不可空!");
}
elseif ( ((strlen($password) < 5) || (strlen($password) > 15)))
{
    die("密码长度在5和15之间");
}
   //--- 值比较
elseif ( !(strlen($password) == strlen($cpassword)) )
{
    die("两次输入密码不匹配! ");
}
elseif( !($password === $cpassword)) //值和数据类型比较
{
   die("两次密码不匹配! ");
}
else  //循环输出密码,因为是密码所以输出*号
{
    for ($i=0;$i<strlen($password);$i++)
      {
            echo "*";
      }
}
}
?>
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=gb2312">
<title>表单验证-密码字段验证</title>
</head>
<body>
<form name="form1" method="post" action="<?=$_SERVER['PHP_SELF'] ?>">
请输入密码:<input type="text" name="password"><br>
确认密码:<input type="password" name="cpassword"><br>
<input type="submit" name="Submit" value="提交">
</form>
</body>
</html>

 

时间: 2024-09-29 09:19:58

php 基于表单密码验证与HTTP验证用法的相关文章

在ASP.NET中如何用C#.NET实现基于表单的验证(一)

asp.net 这篇文章引用到了Microsoft .NET类库中的以下名空间:   System.Data.SqlClient    System.Web.Security-------------------------------   任务: 摘要:   1.要求 2.用Visual C#.NET 创建一个ASP.NET 应用程序  3.在Web.config文件里配置安全设置  4.创建一个数据库表样例来存放用户资料  5.创建Logon.aspx页面  6.编写事件处理代码来验证用户身

在ASP.NET中如何用C#.NET实现基于表单的验证(二)

asp.net (五)创建Logon.aspx页面1.在已创建好的项目里创建一个新的Web 窗体,名为Logon.aspx.2.在编辑器里打开Logon.aspx,切换到HTML视图.3.复制下面代码,然后在编辑菜单里"选择粘贴为HTML"选项,插入到<form>标签之间.    1<h3> 2   <font face="Verdana">Logon Page</font> 3</h3> 4<tab

在ASP.NET中如何用C#.NET实现基于表单的验证

这篇文章引用到了Microsoft.NET类库中的以下名空间:System.Data.SqlClientSystem.Web.Security -------------------------------任务:摘要: 1.要求2.用VisualC#.NET创建一个ASP.NET应用程序3.在Web.config文件里配置安全设置4.创建一个数据库表样例来存放用户资料5.创建Logon.aspx页面6.编写事件处理代码来验证用户身份7.创建一个Default.aspx页面8.附加提示 参考文章-

使用DataPower和HTML基于表单的登录实现轻松的前端身份验证

这个由多期文章组成的新的专栏的第一期文章将会详细探讨此功能,提供 HTML 基于 表单的登录如何部署在 DataPower 中来保护您的 Web 应用程序的实用示例.征服复杂性专栏的每一期文章都会解决一个与安全性相关的常见问题,该问题可使用 IBM WebSphere DataPower Appliances 和其他 IBM 技术解决或简化. 简介 HTML 基于表单的登录身份验证经常可在互联网上看到.一个网站显示一个 HTML 表单,供浏览器用户提供凭据(比如用户名和密码),然后这些凭据可用于

SharePoint 2013中如何自定义Providers在基于表单的身份验证

由于项目的需要,登录SharePoint Application的用户将从一个统一平台中获取,而不是从Domain中获取,所以需要对SharePoint Application的身份验证(Claims Authentication Types)进行更改,即采用更加灵活的混合模式登录:Windows Authentication和Forms Based Authentication.故本篇博客将着重笔墨去介绍SharePoint 2013自定义Providers在基于表单的身份验(Forms-Ba

SharePoint 2013自定义Providers在基于表单的身份验证中的应用

由于项目的需要,登录SharePoint Application的用户将从一个统一平台中获取,而不是从Domain中获取,所以需要对SharePoint Application的身份验证(Claims Authentication Types)进行更改,即采用更加灵活的混合模式登录:Windows Authentication和Forms Based Authentication.故本篇博客将着重笔墨去介绍SharePoint 2013自定义Providers在基于表单的身份验(Forms-Ba

ExtJs 备忘录(3)—— Form表单(三) [ 数据验证 ]

前言 本章主要讲ExtJS表单验证方面,正好趁着周末多写两篇,一边梳理之前用过的代码,一边就地取材补充相关方面的资料,算是温习+补习吧 : ) 系列 1. ExtJs 备忘录(1)-- Form表单(一) [ 控件使用 ] 2. ExtJs 备忘录(2)-- Form表单(二) [ 控件封装 ] 3. ExtJs 备忘录(3)-- Form表单(三) [ 数据验证 ] 推荐 1. ExtJS中表单验证使用自定义vtype示例  2. ExtJs2.0学习系列(5)--Ext.FormPanel之

SharePoint 2013 配置基于表单的身份认证

前 言 这里简单介绍一下为SharePoint 2013 配置基于表单的身份认证,简单的说,就是用Net提供的工具创建数据库,然后配置SharePoint 管理中心.STS服务.Web应用程序的三处web.config即可.下面,让我们以图文的方式了解创建的具体过程吧. 使用微软提供的工具,创建数据库,找到Framework64下的aspnet_regsql,如下图: 这里我发现C:\Windows\Microsoft.NET\Framework64的v2.0.50727路径下和v4.0.303

手机UC浏览器表单密码怎么设置

  不少UC浏览器的用户都在问,UC浏览器表单密码怎么设置.这一点很重要,如在操作关于资金的帐户时,请慎用使用"自动保存表单密码"功能,防范支付功能被盗取.今天,小编就来跟大家分享UC浏览器表单密码设置方法. 手机UC浏览器表单密码设置方法 1.首先点击UC浏览器的菜单键,点击设置,再点击系统设置;(如下图所示) 2.在基本设置中往下拉,看到表单保存,点击下拦框,就可以选择你想要设置的类型;(如下图所示) 3.表单保存总有三种方案供选择,一是提示保存,二是自动保存,三是不保存.你可根据