Web访问控制

原创 2017年07月13日 16:14:30

最近某婚介公司的实习生赵大胖的领导姚无发给赵大胖安排了一个任务:

给网站加上访问控制,游客不能访问看到美女的资料,只有注册的会员才能浏览

赵大胖一时没有很好的思路,然后找到了研发组大佬老郑头。

老郑头毕竟是在web开发领域混迹了多年的老泥鳅了,对这块还算是比较了解。但是为了在小弟面前显摆显摆,就跺着八字步走到了阳台,颤抖着点燃一支烟,放到嘴边狠狠抽了一口,长长的吐出一口气之后,凝望着远方,深邃地说:

  • 请求头auth 认证
  • session 控制

然后在赵大胖充满崇拜的眼神中,缓缓的消失了,一片云雾缭绕,深藏功与名。


请求头auth认证

HTTP认证原理

赵大胖根据自己曾经在学校来一桶图书馆学到的知识,想起了一段关于HTTP协议的故事。

通信双方通过HTTP协议这门统一的“语言”进行交流。客户端发送一个http请求,服务器端根据http协议解析请求,然后按照http协议格式生成响应内容,反馈给客户端。以此来完成一轮“交流”。

想到这,赵胖子立刻着手模拟了一下,来验证自己的想法。然后用客户端浏览器发送了一个http请求。赵大胖很明白,虽然在浏览器中输入的仅仅是一个URL,但是实际上浏览器底层做了很多的工作。

URL: http://localhost/learn/accesscontrol/http.php

GET /learn/accesscontrol/http.php HTTP/1.1
Host: localhost
Connection: keep-alive
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/59.0.3071.86 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8
Accept-Encoding: gzip, deflate, br
Accept-Language: zh-CN,zh;q=0.8

然后服务器端通过检测请求头的Authorization字段,判断客户端是否属于会员客户,然后给予不同的响应。

  • 如果是会员客户:(正常反馈即可)
HTTP/1.1 200 OK
Date: Thu, 13 Jul 2017 07:26:03 GMT
Server: Apache/2.4.25 (Win64) PHP/7.1.3
X-Powered-By: PHP/7.1.3
Content-Length: 78
Keep-Alive: timeout=5, max=100
Connection: Keep-Alive
Content-Type: text/html; charset=UTF-8
  • 如果是游客:(友情的提示认证未通过)
HTTP/1.1 401 Unauthorized
Date: Thu, 13 Jul 2017 07:23:37 GMT
Server: Apache/2.4.25 (Win64) PHP/7.1.3
X-Powered-By: PHP/7.1.3
WWW-Authenticate: Basic realm='PHP Secured'
Content-Length: 12
Keep-Alive: timeout=5, max=100
Connection: Keep-Alive
Content-Type: text/html; charset=UTF-8

字段剖析

虽然大致流程明白了,但是赵大胖最近吃的油水太多,记忆力严重下降,尤其是看到

Authorization: Basic emhhbmdzYW46emhhbmdzYW4=
和
WWW-Authenticate: Basic realm='PHP Secured'

这段描述,但是鉴于不好意思再去问老郑头,就只能去问谷哥了,谷哥还是那么帅,“有求必应”,只需要在浏览器中输入正确的关键字,谷哥立马就给了回复,这让忧郁的赵大胖感到一丝慰藉。

原来,Authorization头就是一个base64编码了的用户名密码的字符串啊。编码前的格式为

"username:password"

虽然base64编码后的字符串乍看起来让赵大胖无解,但是赵大胖知道,对付这种小菜,会非常的容易。服务器接收到客户端带有认证的请求头后就会进行解析,判断系统有没有这个用户,身份不合法的话就会再次发送

HTTP/1.1 401 Authorization Required

再次让客户端输入正确的信息,直到认证成功。认证成功后浏览器将记住用户名密码,自动向请求 同域 重新发送将来的请求。

实战http认证

明白了这些,赵大胖拍了拍自己鼓囊囊的大肚子,顺便捋了捋原本就不多的头发,开始噼里啪啦的敲起了跟随多年的键盘,不一会儿便写完了。正好领导姚无发路过,赵大胖拉着领导的手,演示起了自己的Demo。

http.php

<?php
/**
 * @Author: 郭 璞
 * @File: http.php
 * @Time: 2017/7/13
 * @Contact: 1064319632@qq.com
 * @blog: http://blog.csdn.net/marksinoberg
 * @Description: 通过HTTP的Authenticate 进行访问控制。
 **/

// 合法的用户,可以是存储在数据库中或者其他的存储介质中。
$users = [
    "zhangsan" => "zhangsan",
    "lisi" => "lisi",
    "wangwu" => "wangwu",
    "zhaoliu" => "zhaoliu"
];

if(!isset($_SERVER['PHP_AUTH_USER'])) {
    header("HTTP/1.1 401 Unauthorized");
    header("WWW-Authenticate: Basic realm='PHP Secured'");
    exit("Unauthorized");
}

if($users[$_SERVER['PHP_AUTH_USER']] != $_SERVER['PHP_AUTH_PW']) {
    header("HTTP/1.1 401 Unauthorized");
    header("WWW-Authenticate: Basic realm='PHP Secured'");
    exit("Unauthorized");
}

echo "You are credentials were:<br/>";
echo "Username: ".$_SERVER['PHP_AUTH_USER']."<br />";
echo "Password: ".$_SERVER['PHP_AUTH_PW']."<br />";

?>

浏览器演示

赵大胖第一次输入了:zhangsan123456这么个错误的认证。服务器也很听话,发现身份不合法,就非得让赵大胖输入合法的信息,才放行。于是赵大胖第二次输入了:zhangsan, zhangsan。这才认证通过。

浏览器端http认证演示

其他方式

领导姚无发看了看说:浏览器只是客户端的一种,万一有用户用的不是浏览器呢?

赵大胖略微想了想,又写下了代码版访问。

# coding: utf8

import requests

username = "zhangsan"
password = "zhansgsan"

url = "http://localhost/learn/accesscontrol/http.php"

# response = requests.get(url=url, auth=(username, password))
response = requests.get(url=url)
print(response.status_code)

print(response.text)

其他方式http认证示例


领导姚无发心想,赵大胖这小子可以啊,这么快就完成了。看来公司这次招聘抓到宝了。不行,我得再考考他。于是仍然面不改色的说:http认证是个好办法,你还有没有其他实现呢?


session控制

赵大胖打着自己的小算盘,心想:哼╭(╯^╰)╮,还想为难我,俺不怕。

然后根据偶像老郑头之前的锦囊妙计,开始了新一轮的编码。

session剖析

赵大胖对于session可是不太了解,不过没关系,还有谷哥嘛。谷哥给出了这样的解释:

会话允许存储一个页面的变量(状态),并在另一个页面中使用它们。在PHP中,会产生一个32位的字符串来标识客户端的会话,然后将这个串传递给浏览器,同时在服务器上产生一个文件并将此会话的ID包括在文件名中。浏览器访问另一个页面的时候,就通过URL查询字符串或者返回cookie的方式告诉服务器它要指定的会话,这样状态便可以畅通无阻了。

“也就是说在一次访问过程中,用户的状态会被保存呗,那这可就方便多了啊”,赵大胖自言自语的说。

实战Session

没有任何艺术细胞的赵大胖不是很擅长前端,于是多花了点时间,仍旧写不出好看的网页。不过还好,功能上算是完成了。

login.php

<?php
/**
 * @Author: 郭 璞
 * @File: login.php
 * @Time: 2017/7/13
 * @Contact: 1064319632@qq.com
 * @blog: http://blog.csdn.net/marksinoberg
 * @Description:
 **/
session_start();


$html = <<< EOD
<form action="secret.php" method="POST">

    <legend>
        用户登录
    </legend>
    <fieldset>
        <label for="username">Username:</label>
        <input type="text" name="username"><br/>
        <br>
        <label for="password">Password:</label>
        <input type="password" name="password"><br/>
        <br>
        <input type="submit" value="登录">
    </fieldset>

</form>
EOD;

// 输出表单
echo $html;

secret.php

<?php
/**
 * @Author: 郭 璞
 * @File: secret.php
 * @Time: 2017/7/13
 * @Contact: 1064319632@qq.com
 * @blog: http://blog.csdn.net/marksinoberg
 * @Description:
 **/

session_start();

$users = [
    "zhangsan" => "zhangsan",
    "lisi" => "lisi",
    "wangwu" => "wangwu",
    "zhaoliu" => "zhaoliu"
];

$username = $_POST['username'];
$password = $_POST['password'];

if(in_array($username, $users)) {
    if($password===$users[$username]) {
        $_SESSION['username'] = $username;
        echo "Welcome <mark>$username </mark>, you can see secret documents now.";
    }else{
        echo "Sorry, Username not match password.<br>Please check it carefully.";
    }
}else{
    echo "Sorry, you are unauthorized.";
}

“每次都得在PHP文件开头写个session_start()还真是有点麻烦呢。”,赵大胖忍不住吐槽了一下。然后迫不及待的又把领导姚无发给叫来了,信誓旦旦的说自己完成了。

session控制演示

还是按照之前的做法,赵大胖先输入了一个非法用户,服务器当然不给通过啦,除非身份合法。于是赵大胖输入了正确的身份信息,服务器这才放行。

session 控制访问权限演示

领导姚无发看了看,嘴角也忍不住向上弯了几度。对赵大胖说:
大胖啊,做的不错,好好干!


下班后,赵大胖非要请老郑头吃饭,来答谢老郑头的锦囊妙计,二人勾肩搭背,坐在街边大排档,喝着冰镇的啤酒,吃着烤串,真是好不热闹… …

                                               the end.
版权声明:本作品采用知识共享署名-非商业性使用-相同方式共享 4.0 国际许可协议进行许可。转载时请标注http://blog.csdn.net/marksinoberg. 举报

相关文章推荐

Django完整的开发一个博客系统

今天花了一些时间搭了一个博客系统,虽然并没有相关于界面的美化,但是发布是没问题的。开发环境操作系统:windows 7 64位 Django: 1.96 Python:2.7.11 IDE: P...

Python optparser库详解

一直以来对optparser不是特别的理解,今天就狠下心,静下心研究了一下这个库。当然了,不敢说理解的很到位,但是足以应付正常的使用了。废话不多说,开始今天的分享吧。简介 optparse模块主要...

我是如何成为一名python大咖的?

人生苦短,都说必须python,那么我分享下我是如何从小白成为Python资深开发者的吧。2014年我大学刚毕业..

tmux安装与使用

安装 用法 重点 一prefix前缀键 二window和pane的区分 tmux 按照官方给出的介绍是:终端复用工具。说白了就是可以仅仅在开启一个终端的情况下同时处理多个任务。比如下面我设置的这样一个...

Enumerable.TakeWhile(Of TSource) Method (IEnumerable(Of TSource), Func(Of TSource, Boolean))

Returns elements from a sequence as long as a specified condition is true. Namespace:   Syste...

图解VIM常用操作

入职差不多3周多了。接触了很多之前在学校接触不到的人,工具。这3周以来,我就好像是那“进了大观园的刘姥姥”,看什么都觉得新奇。尤其是看到组内大佬们都不用IDE,要么VIM,要么EMACS。而且用的真的...

Sublime Text 3 使用MarkDown编写带预览的文本

看到别人使用一个叫Markdown的标记语言来完成编码,心里就有点小激动,毕竟简短的几个符号,就可以写出如此精美的界面,实在是让人感到心旷神怡啊。于是我就在网上搜索了一些相关项的设置,于是便有了下面的...

腾讯公司十二周年抽奖是真的吗_____↙

腾讯公司 总 部 电 话《95013+2195+0586》抽奖电话《95013+2195+0586》活动热线《95013+2195+0586》非常6+1 电 话《95013+2195+0586》幸 运...

Python自定义大小截屏

蝈蝈这两天正忙着收拾家当去公司报道,结果做PHP的发小蛐蛐找到了他,说是想要一个可以截图工具。大致需要做出这样的效果。 虽然已经很久不写Python代码了,但是没办法,盛情难却啊,只好硬着头皮上了。...

Web访问控制

最近某婚介公司的实习生赵大胖的领导姚无发给赵大胖安排了一个任务:给网站加上访问控制,游客不能访问看到美女的资料,只有注册的会员才能浏览。赵大胖一时没有很好的思路,然后找到了研发组大佬老郑头。老郑头毕竟...
返回顶部
收藏助手
不良信息举报
您举报文章:深度学习:神经网络中的前向传播和反向传播算法推导
举报原因:
原因补充:

(最多只允许输入30个字)