以下是在页面上强迫客户端认证的脚本范例:
Basic HTTP 认证范例
<?
if (!isset( $_SERVER [ 'PHP_AUTH_USER' ])) {
header ( 'WWW-Authenticate: Basic realm="My
Realm"' );
header ( 'HTTP/1.0 401 Unauthorized' );
echo 'Text to send if user hits Cancel button' ;
exit;
} else {
echo "<p>Hello { $_SERVER [ 'PHP_AUTH_USER' ]}
.</p>" ;
echo "<p>You entered { $_SERVER [ 'PHP_AUTH_PW'
]} as your password.</p>" ;
}
?>
Digest HTTP 认证范例
本例演示怎样实现一个简单的 Digest HTTP 认证脚本。更多信息请参考 RFC 2617 。
<?php
$realm = 'Restricted area' ;
//user => password
$users = array( 'admin' => 'mypass' , 'guest' => 'guest' );
if (!isset( $_SERVER [ 'PHP_AUTH_DIGEST' ])) {
header ( 'HTTP/1.1 401 Unauthorized' );
header ( 'WWW-Authenticate: Digest realm="' .
$realm .
'"
qop="auth" nonce="' . uniqid (). '" opaque="' . md5 (
$realm ). '"' );
die( 'Text to send if
user hits Cancel button' );
}
// analize the PHP_AUTH_DIGEST variable
preg_match (
'/username="(?P<username>.*)",s*realm="(?P<realm>.*)",s*nonce="(?P<nonce>.*)",s*uri="(?P<uri>.*)",s*response="(?P<response>.*)",s*opaque="(?P<opaque>.*)",s*qop=(?P<qop>.*),s*nc=(?P<nc>.*),s*cnonce="(?P<cnonce>.*)"/'
, $_SERVER [ 'PHP_AUTH_DIGEST' ], $digest );
if (!isset( $users [ $digest [ 'username'
]]))
die( 'Username not valid!' );
// generate the valid response
$A1 = md5 ( $digest [ 'username' ] . ':' . $realm . ':' . $users [ $digest [
'username' ]]);
$A2 = md5 ( $_SERVER [ 'REQUEST_METHOD' ]. ':' . $digest [ 'uri' ]);
$valid_response = md5 ( $A1 . ':' . $digest [ 'nonce' ]. ':' . $digest [ 'nc'
]. ':' . $digest [ 'cnonce' ]. ':' . $digest [ 'qop' ]. ':' . $A2 );
if ( $digest [ 'response' ] !=
$valid_response )
die( 'Wrong Credentials!' );
// ok, valid username & password
echo 'Your are logged in as: ' . $digest [ 'username' ];
?> 强迫重新输入用户名和密码的 HTTP 认证的范例
<?php
function authenticate () {
header ( 'WWW-Authenticate: Basic realm="Test
Authentication System"' );
header ( 'HTTP/1.0 401 Unauthorized' );
echo "You must enter a valid login ID and password to
access this resourcen" ;
exit;
}
if (!isset( $_SERVER [
'PHP_AUTH_USER' ]) ||
( $_POST [ 'SeenBefore' ] == 1 && $_POST
[ 'OldAuth' ] == $_SERVER [ 'PHP_AUTH_USER' ])) {
authenticate ();
}
else {
echo "<p>Welcome: { $_SERVER [ 'PHP_AUTH_USER' ]}
<br />" ;
echo "Old: { $_REQUEST [ 'OldAuth' ]} " ;
echo "<form action=' { $_SERVER [ 'PHP_SELF' ]} '
METHOD='post'> n " ;
echo "<input type='hidden' name='SeenBefore' value='1'
/>n" ;
echo "<input type='hidden' name='OldAuth' value=' {
$_SERVER [ 'PHP_AUTH_USER' ]} ' /> n " ;
echo "<input type='submit' value='Re Authenticate'
/>n" ;
echo "</form></p>n" ;
}
在下例中,我们是使用$PHP_AUTH_USER和$PHP_AUTH_PW这两个变量来验证进入者是否合法并允许进入。在本例中被允许登录的用户名称和密码对分别为tnc和nature:
<?
if(!isset($PHP_AUTH_USER))
{
Header("WWW-Authenticate: Basic
realm="My Realm"");
Header("HTTP/1.0 401
Unauthorized");
echo "Text to send if user hits Cancel
buttonn";
exit;
}
else
{
if ( !($PHP_AUTH_USER=="tnc"
&& $PHP_AUTH_PW=="nature") )
{
// 如果是错误的用户名称/密码对,强制再验证
Header("WWW-Authenticate: Basic
realm="My Realm"");
Header("HTTP/1.0 401
Unauthorized");
echo "ERROR :
$PHP_AUTH_USER/$PHP_AUTH_PW is invalid.";
exit;
}
else
{
echo "Welcome tnc!";
}
?>
事实上再实际引用中不大可能如上面使用代码段明显的用户名称/密码对,而是利用数据库或者加密的密码文件存取它们。
6.3 根据指定的验证信息核实用户身份
首先,我们可以使用以下代码确定用户是否已经输入了用户名和密码,并显示出用户输入的信息。
<?php
if (!isset($PHP_AUTH_USER)) {
header(’WWW-Authenticate:
Basic realm="My Private Stuff"’);
header(’HTTP/1.0 401
Unauthorized’);
echo ’Authorization
Required.’;
exit;
}
else {
echo "<P>You have entered this
username: $PHP_AUTH_USER<br>
You have entered this password:
$PHP_AUTH_PW<br>
The authorization type is:
$PHP_AUTH_TYPE</p>";
}
?>
说明:
isset()函数用于确定某个变量是否已被赋值。根据变量值是否存在,返回true或false。
header()函数用于发送特定的HTTP标头。注意,使用header()函数时,一定要在任何产生实际输出的HTML或PHP代码前面调用该函数。
虽然上述代码相当简单,没有根据任何实际值对用户输入的用户名和密码进行有效验证,但是至少我们了解了如何使用PHP在客户端产生输入对话框。
下面,我们就来了解一下如何根据指定的验证信息核实用户身份。代码如下:
<?php
if (!isset($PHP_AUTH_USER)) {
header(’WWW-Authenticate:
Basic realm="My Private Stuff"’);
header(’HTTP/1.0 401
Unauthorized’);
echo ’Authorization
Required.’;
exit;
}
else if (isset($PHP_AUTH_USER)) {
if (($PHP_AUTH_USER != "admin")
|| ($PHP_AUTH_PW != "123")) {
header(’WWW-Authenticate:
Basic realm="My Private Stuff"’);
header(’HTTP/1.0 401
Unauthorized’);
echo ’Authorization
Required.’;
exit;
} else {
echo "<P>You’re
authorized!</p>";
}
}
?>
在这里,我们首先检查用户是否已经输入了用户名称和密码,如果没有则弹出相应对话框要求用户输入身份信息。随后,我们通过判断用户输入的信息是否符合admin/123这一指定用户帐号来授予用户访问权限或提示用户再次输入正确的信息。这种方法适用于所有用户都使用同一登录帐号的网站。
6.4 另一种简易的密码验证
如果你是在windows98下面编写和运行着你的PHP脚本,或者是你在Linux下面按默认设置,将PHP安装成一个CGI程序的话,你将无法使用上面的PHP程序来实现验证功能。为此,无边给大家提供了另外一种简易的密码验证的方法。虽然实用性不大,但是拿来学习还是挺好的。
<?php
if($_POST[Submit]=="提交"){ //如果用户提交了数据,则执行操作
$password=$_POST[password]; //获取用户输入的数据,并保存在变量 password 中
$cpassword=$_POST[cpassword]; //获取用户输入的确认数据,保存在变量
$cpassord 中
if(empty($password) || empty($cpassword))
{
die("密码不可空!");
}
elseif ( ((strlen($password) < 5) || (strlen($password) > 15)))
{
die("密码长度在5和15之间");
}
//--- 值比较
elseif ( !(strlen($password) == strlen($cpassword)) )
{
die("两次输入密码不匹配! ");
}
elseif( !($password === $cpassword)) //值和数据类型比较
{
die("两次密码不匹配! ");
}
else //循环输出密码,因为是密码所以输出*号
{
for ($i=0;$i<strlen($password);$i++)
{
echo
"*";
}
}
}
?>
<html>
<head>
<meta http-equiv="Content-Type" content="text/html;
charset=gb2312">
<title>表单验证-密码字段验证</title>
</head>
<body>
<form name="form1" method="post"
action="<?=$_SERVER['PHP_SELF'] ?>">
请输入密码:<input type="text"
name="password"><br>
确认密码:<input type="password"
name="cpassword"><br>
<input type="submit" name="Submit" value="提交">
</form>
</body>
</html>
|