有时需要唯一地确认一个用户。用户通常由请求和响应系统确认。用户名/口令组合就是这种系统的一个很好的例子,比如系统要求给出A1i的口令,响应的是Ali的口令。这样验证是因为只有Ali才知道这个口令。
(1)服务器端用户验征
这是用于服务端上对PHP程序要求最小的验证方法。只要让Apache来管理对用户的验证就行了。
AuthName "Secret page" # The realm
AuthType Basic
# The password file has been placed outside the web tree
AuthUserFile /home/car2002/website.pw
require valid-user
你需要把上述文件(文件名为.htaccess)放在需要保护的地方。用Apache的htpasswd程序,可以建立包含用户名和口令组合的文件。把这个文件放在Web目录树之外,只让该文件的拥有者查看和修改这个文件。当然,Web服务器必须能够读取这个文件。
如果想读取被保护的目录,Web服务器要求浏览器提供用户名和密码。浏览器弹出对话框,用户可以输入他们的用户名和密码。如果用户名和密码与口令文件中相符合,就允许用户读取被保护的页面;反之,将得到错误页面,告诉用户没有通过验证。被保护的域会显示出来以便用户知道输入那个用户名和密码。
(2)在PHP中进行用户识别和验证
和在Apache服务器端进行用户识别和验证相比,在PHP进行用户识别和验证有以下优点:
A、可注销。
B、可失效。如用户登录后40分钟没有浏览你的网站,你可强制他们重新通过验证。
C、可定制。
D、可基于数据库。你可以用保存在各种各样的数据库里的数据来验证用户,并且记录访问者访问网站的详细日志。
E、可用于每个页面。你可在每个页面上决定是否需要验证。
F、你也可以使浏览器弹出对话框。下面的例子显示了怎样从,MySQL数据库中检索用名和口令:让用户填人用户名和口令。
if(!isset($PHP_AUTH_USER)) {
Header("WWW-authenticate: basic realm=\"restricted area\"");
Header( "HTTP/I.0 401 Unauthorized");
echo "You failed to provide the correct password...\n";
exit;
} else {
mysql_select_db("users") ;
$user_id = strtolower($PHP^AUTH_USER);
$result = mysql_query("SELECT password FROM users " .
"WHERE username = '$username'") ;
$row = mysql_fetch_array($result) ;
if ($PHP_AUTH_PW != $row["password"]) {
Header( "WWW-authenticate: basic realm=\"restricted area\"
Header( "HTTP/I.0 401 Unauthorized");
echo "You failed to provide the correct password...\n" ;
exit;
}
}
?>
Only users with a working username/password combination can see this
203
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
