关闭

Web访问控制

标签: webweb开发web访问控制访问控制
7295人阅读 评论(9) 收藏 举报
分类:

最近某婚介公司的实习生赵大胖的领导姚无发给赵大胖安排了一个任务:

给网站加上访问控制,游客不能访问看到美女的资料,只有注册的会员才能浏览

赵大胖一时没有很好的思路,然后找到了研发组大佬老郑头。

老郑头毕竟是在web开发领域混迹了多年的老泥鳅了,对这块还算是比较了解。但是为了在小弟面前显摆显摆,就跺着八字步走到了阳台,颤抖着点燃一支烟,放到嘴边狠狠抽了一口,长长的吐出一口气之后,凝望着远方,深邃地说:

  • 请求头auth 认证
  • session 控制

然后在赵大胖充满崇拜的眼神中,缓缓的消失了,一片云雾缭绕,深藏功与名。


请求头auth认证

HTTP认证原理

赵大胖根据自己曾经在学校来一桶图书馆学到的知识,想起了一段关于HTTP协议的故事。

通信双方通过HTTP协议这门统一的“语言”进行交流。客户端发送一个http请求,服务器端根据http协议解析请求,然后按照http协议格式生成响应内容,反馈给客户端。以此来完成一轮“交流”。

想到这,赵胖子立刻着手模拟了一下,来验证自己的想法。然后用客户端浏览器发送了一个http请求。赵大胖很明白,虽然在浏览器中输入的仅仅是一个URL,但是实际上浏览器底层做了很多的工作。

URL: http://localhost/learn/accesscontrol/http.php

GET /learn/accesscontrol/http.php HTTP/1.1
Host: localhost
Connection: keep-alive
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/59.0.3071.86 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8
Accept-Encoding: gzip, deflate, br
Accept-Language: zh-CN,zh;q=0.8

然后服务器端通过检测请求头的Authorization字段,判断客户端是否属于会员客户,然后给予不同的响应。

  • 如果是会员客户:(正常反馈即可)
HTTP/1.1 200 OK
Date: Thu, 13 Jul 2017 07:26:03 GMT
Server: Apache/2.4.25 (Win64) PHP/7.1.3
X-Powered-By: PHP/7.1.3
Content-Length: 78
Keep-Alive: timeout=5, max=100
Connection: Keep-Alive
Content-Type: text/html; charset=UTF-8
  • 如果是游客:(友情的提示认证未通过)
HTTP/1.1 401 Unauthorized
Date: Thu, 13 Jul 2017 07:23:37 GMT
Server: Apache/2.4.25 (Win64) PHP/7.1.3
X-Powered-By: PHP/7.1.3
WWW-Authenticate: Basic realm='PHP Secured'
Content-Length: 12
Keep-Alive: timeout=5, max=100
Connection: Keep-Alive
Content-Type: text/html; charset=UTF-8

字段剖析

虽然大致流程明白了,但是赵大胖最近吃的油水太多,记忆力严重下降,尤其是看到

Authorization: Basic emhhbmdzYW46emhhbmdzYW4=
和
WWW-Authenticate: Basic realm='PHP Secured'

这段描述,但是鉴于不好意思再去问老郑头,就只能去问谷哥了,谷哥还是那么帅,“有求必应”,只需要在浏览器中输入正确的关键字,谷哥立马就给了回复,这让忧郁的赵大胖感到一丝慰藉。

原来,Authorization头就是一个base64编码了的用户名密码的字符串啊。编码前的格式为

"username:password"

虽然base64编码后的字符串乍看起来让赵大胖无解,但是赵大胖知道,对付这种小菜,会非常的容易。服务器接收到客户端带有认证的请求头后就会进行解析,判断系统有没有这个用户,身份不合法的话就会再次发送

HTTP/1.1 401 Authorization Required

再次让客户端输入正确的信息,直到认证成功。认证成功后浏览器将记住用户名密码,自动向请求 同域 重新发送将来的请求。

实战http认证

明白了这些,赵大胖拍了拍自己鼓囊囊的大肚子,顺便捋了捋原本就不多的头发,开始噼里啪啦的敲起了跟随多年的键盘,不一会儿便写完了。正好领导姚无发路过,赵大胖拉着领导的手,演示起了自己的Demo。

http.php

<?php
/**
 * @Author: 郭 璞
 * @File: http.php
 * @Time: 2017/7/13
 * @Contact: 1064319632@qq.com
 * @blog: http://blog.csdn.net/marksinoberg
 * @Description: 通过HTTP的Authenticate 进行访问控制。
 **/

// 合法的用户,可以是存储在数据库中或者其他的存储介质中。
$users = [
    "zhangsan" => "zhangsan",
    "lisi" => "lisi",
    "wangwu" => "wangwu",
    "zhaoliu" => "zhaoliu"
];

if(!isset($_SERVER['PHP_AUTH_USER'])) {
    header("HTTP/1.1 401 Unauthorized");
    header("WWW-Authenticate: Basic realm='PHP Secured'");
    exit("Unauthorized");
}

if($users[$_SERVER['PHP_AUTH_USER']] != $_SERVER['PHP_AUTH_PW']) {
    header("HTTP/1.1 401 Unauthorized");
    header("WWW-Authenticate: Basic realm='PHP Secured'");
    exit("Unauthorized");
}

echo "You are credentials were:<br/>";
echo "Username: ".$_SERVER['PHP_AUTH_USER']."<br />";
echo "Password: ".$_SERVER['PHP_AUTH_PW']."<br />";

?>

浏览器演示

赵大胖第一次输入了:zhangsan123456这么个错误的认证。服务器也很听话,发现身份不合法,就非得让赵大胖输入合法的信息,才放行。于是赵大胖第二次输入了:zhangsan, zhangsan。这才认证通过。

浏览器端http认证演示

其他方式

领导姚无发看了看说:浏览器只是客户端的一种,万一有用户用的不是浏览器呢?

赵大胖略微想了想,又写下了代码版访问。

# coding: utf8

import requests

username = "zhangsan"
password = "zhansgsan"

url = "http://localhost/learn/accesscontrol/http.php"

# response = requests.get(url=url, auth=(username, password))
response = requests.get(url=url)
print(response.status_code)

print(response.text)

其他方式http认证示例


领导姚无发心想,赵大胖这小子可以啊,这么快就完成了。看来公司这次招聘抓到宝了。不行,我得再考考他。于是仍然面不改色的说:http认证是个好办法,你还有没有其他实现呢?


session控制

赵大胖打着自己的小算盘,心想:哼╭(╯^╰)╮,还想为难我,俺不怕。

然后根据偶像老郑头之前的锦囊妙计,开始了新一轮的编码。

session剖析

赵大胖对于session可是不太了解,不过没关系,还有谷哥嘛。谷哥给出了这样的解释:

会话允许存储一个页面的变量(状态),并在另一个页面中使用它们。在PHP中,会产生一个32位的字符串来标识客户端的会话,然后将这个串传递给浏览器,同时在服务器上产生一个文件并将此会话的ID包括在文件名中。浏览器访问另一个页面的时候,就通过URL查询字符串或者返回cookie的方式告诉服务器它要指定的会话,这样状态便可以畅通无阻了。

“也就是说在一次访问过程中,用户的状态会被保存呗,那这可就方便多了啊”,赵大胖自言自语的说。

实战Session

没有任何艺术细胞的赵大胖不是很擅长前端,于是多花了点时间,仍旧写不出好看的网页。不过还好,功能上算是完成了。

login.php

<?php
/**
 * @Author: 郭 璞
 * @File: login.php
 * @Time: 2017/7/13
 * @Contact: 1064319632@qq.com
 * @blog: http://blog.csdn.net/marksinoberg
 * @Description:
 **/
session_start();


$html = <<< EOD
<form action="secret.php" method="POST">

    <legend>
        用户登录
    </legend>
    <fieldset>
        <label for="username">Username:</label>
        <input type="text" name="username"><br/>
        <br>
        <label for="password">Password:</label>
        <input type="password" name="password"><br/>
        <br>
        <input type="submit" value="登录">
    </fieldset>

</form>
EOD;

// 输出表单
echo $html;

secret.php

<?php
/**
 * @Author: 郭 璞
 * @File: secret.php
 * @Time: 2017/7/13
 * @Contact: 1064319632@qq.com
 * @blog: http://blog.csdn.net/marksinoberg
 * @Description:
 **/

session_start();

$users = [
    "zhangsan" => "zhangsan",
    "lisi" => "lisi",
    "wangwu" => "wangwu",
    "zhaoliu" => "zhaoliu"
];

$username = $_POST['username'];
$password = $_POST['password'];

if(in_array($username, $users)) {
    if($password===$users[$username]) {
        $_SESSION['username'] = $username;
        echo "Welcome <mark>$username </mark>, you can see secret documents now.";
    }else{
        echo "Sorry, Username not match password.<br>Please check it carefully.";
    }
}else{
    echo "Sorry, you are unauthorized.";
}

“每次都得在PHP文件开头写个session_start()还真是有点麻烦呢。”,赵大胖忍不住吐槽了一下。然后迫不及待的又把领导姚无发给叫来了,信誓旦旦的说自己完成了。

session控制演示

还是按照之前的做法,赵大胖先输入了一个非法用户,服务器当然不给通过啦,除非身份合法。于是赵大胖输入了正确的身份信息,服务器这才放行。

session 控制访问权限演示

领导姚无发看了看,嘴角也忍不住向上弯了几度。对赵大胖说:
大胖啊,做的不错,好好干!


下班后,赵大胖非要请老郑头吃饭,来答谢老郑头的锦囊妙计,二人勾肩搭背,坐在街边大排档,喝着冰镇的啤酒,吃着烤串,真是好不热闹… …

                                               the end.
10
0
查看评论

WEB用户访问控制方法

基于角色-页面模型的WEB用户访问控制方法 1:在管理信息系统(MIS:Management Information System)中,针对用于控制 各种用户使用系统的权限和访问的用户授权及权限管理机制的研究得到了普遍 的关注。目前用户权限管理通常采用三种方法:强制访问控制(MAC:Manda...
  • zhangleijava1
  • zhangleijava1
  • 2013-11-01 16:01
  • 2634

JavaWeb 案例——访问权限控制

一、功能介绍        每个网站都涉及到访问权限的控制。每个站点资源都需要被管理起来,用户只有具有访问某个资源的特定权限,才能够访问,否则拒绝访问。 二、项目分析     ...
  • xiaoliuliu2050
  • xiaoliuliu2050
  • 2016-04-22 18:39
  • 14015

web安全学习笔记之-认证和会话管理-访问控制

密码是验证主人最简单常用的手段 网站要避免存密码的明文,CSDN被拖ku
  • sailtoyouSCU
  • sailtoyouSCU
  • 2014-05-18 23:01
  • 757

一个web页面的访问的过程

Browers是如何在浩瀚的互联网上找到我们需要的资源呢? 以下将记录这个过程,这个过程是web编程需要需要熟知的。 用户打开浏览器输入目标地址(比如http://www.sina.com),那么接下来发生什么事情呢?   1,浏览器首先会查询本机的系统,获取主机名对应的IP地址。 2...
  • hu9645313573
  • hu9645313573
  • 2017-02-14 11:08
  • 284

一次web访问背后的整个过程

最近这段时间一直在学习计算机网络方面的知识,今天书差不多算是看完了,所以想写一篇文章来给自己这段时间对于计算机网络的学习做一个总结吧。可能会显得很基础和啰嗦,主要是初学者,不要介意。 我们学生在学校经常会用自己的笔记本电脑来上网,比如想通过浏览器打开百度的主页,这个动作看起来很简单,其实背后蕴藏着很...
  • dn1483851197
  • dn1483851197
  • 2016-07-16 10:45
  • 1414

网页放在WEB-INF下面怎样发布访问

web project网页放在WEB-INF下面受保护,不能直接访问,有下面三种方式: 假设要发布的网页为a.jsp,建表单form。 1、在web.xml中,将默认index.jsp改成./WEB-INF/view/a.jsp,其他注释: 访问方式为:http://localhost:8080...
  • qq_24474911
  • qq_24474911
  • 2016-08-21 21:32
  • 3943

一个web页面的访问的过程

用户打开浏览器输入目标地址(比如http://www.sina.com) 1. 浏览器首先会查询本机的系统,获取主机名对应的IP地址。 2. 若本机查询不到相应的IP地址,则会发起DNS请求,获取主机名对应的IP地址。 3. 使用查询到的IP地址,直接访问目标服务器。 访问目标地址的两种方式:...
  • mccand1234
  • mccand1234
  • 2016-10-22 19:21
  • 402

Linux Apache上实现Web页面访问权限控制

在Linux下基于Apache 配置文件的Web页面访问权限控制的方法 假设你有一些敏感的信息要放在Intranet/Internet上,你首先可能会想到自己开发一个用户身份认证的系统来保护你的Web页面。其实Apache本身就自带了限制用户访问Web页面的机制,实现起来也不复杂。 本文介绍在L...
  • u011630575
  • u011630575
  • 2015-12-01 21:13
  • 1587

WebService安全 - 文件夹 目录安全性 - 身份验证与访问控制

1.创建WebService2.配置 网站 的 WebService文件夹目录安全性 - 身份验证与访问控制3.访问WebService================1.创建WebService2.配置 网站 的 WebService文件夹目录安全性 - 身份验证与访问控制------------...
  • freeliver54
  • freeliver54
  • 2007-03-12 11:02
  • 504

web资源访问流程

前台搞了一段时间,又去搞后台的东西,最近准备将自己的第一个主页做出来,回头看了一下前边的,发现好多东西都忘了,今天又看了一下web开发基础,决定写出我的第一篇博客。如有错误,希望指出,生气3q。 web资源访问的整体流程如下: 1.用户使用使用ie浏览器打开一个连接 例:http://www.b...
  • zouh613
  • zouh613
  • 2016-01-06 10:05
  • 745
    个人资料
    • 访问:3235722次
    • 积分:34857
    • 等级:
    • 排名:第149名
    • 原创:357篇
    • 转载:35篇
    • 译文:9篇
    • 评论:733条
    友情链接
    我的偶像
    个人主页
      GitHub
    放松一下
    博客专栏
    最新评论
    版权信息
    去除本页广告
    图片炸弹装填中...

        
    [img=赞一个]http://bpic.588ku.com/element_origin_min_pic/16/12/12/0d96da96cf36505736c09d63832eaac8.jpg[/img]