<?php if (!isset( $_SERVER [ 'PHP_AUTH_USER' ])) { header ( 'WWW-Authenticate: Basic realm="My Realm"' ); header ( 'HTTP/1.0 401 Unauthorized' ); echo 'Text to send if user hits Cancel button' ; exit; } else { echo "<p>Hello { $_SERVER [ 'PHP_AUTH_USER' ]} .</p>" ; echo "<p>You entered { $_SERVER [ 'PHP_AUTH_PW' ]} as your password.</p>" ; } ?>
本例演示怎样实现一个简单的 Digest HTTP 认证脚本,更多信息请参考 RFC 2617.
<?php $realm = 'Restricted area' ; //user => password $users = array( 'admin' => 'mypass' , 'guest' => 'guest' ); if (!isset( $_SERVER [ 'PHP_AUTH_DIGEST' ])) { header ( 'HTTP/1.1 401 Unauthorized' ); header ( 'WWW-Authenticate: Digest realm="' . $realm . '" qop="auth" nonce="' . uniqid (). '" opaque="' . md5 ( $realm ). '"' ); die( 'Text to send if user hits Cancel button' ); } // analize the PHP_AUTH_DIGEST variable preg_match ( '/username="(?P<username>.*)",s*realm="(?P<realm>.*)",s*nonce="(?P<nonce>.*)",s*uri="(?P<uri>.*)",s*response="(?P<response>.*)",s*opaque="(?P<opaque>.*)",s*qop=(?P<qop>.*),s*nc=(?P<nc>.*),s*cnonce="(?P<cnonce>.*)"/' , $_SERVER [ 'PHP_AUTH_DIGEST' ], $digest ); if (!isset( $users [ $digest [ 'username' ]])) die( 'Username not valid!' ); // generate the valid response $A1 = md5 ( $digest [ 'username' ] . ':' . $realm . ':' . $users [ $digest [ 'username' ]]); $A2 = md5 ( $_SERVER [ 'REQUEST_METHOD' ]. ':' . $digest [ 'uri' ]); $valid_response = md5 ( $A1 . ':' . $digest [ 'nonce' ]. ':' . $digest [ 'nc' ]. ':' . $digest [ 'cnonce' ]. ':' . $digest [ 'qop' ]. ':' . $A2 ); if ( $digest [ 'response' ] != $valid_response ) die( 'Wrong Credentials!' ); // ok, valid username & password echo 'Your are logged in as: ' . $digest [ 'username' ]; ?>
在以上例子中,仅仅只打印出了 PHP_AUTH_USER 和 PHP_AUTH_PW 的值,但在实际运用中,可能需要对用户名和密码的合法性进行检查,或许进行数据库教程的查询,或许从 dbm 文件中检索.
注意有些 Internet Explorer 浏览器本身有问题。它对标头的顺序显得似乎有点吹毛求疵。目前看来在发送 HTTP/1.0 401 之前先发送 WWW-Authenticate 标头似乎可以解决此问题。
自 PHP 4.3.0 起,为了防止有人通过编写脚本来从用传统外部机制认证的页面上获取密码,当外部认证对特定页面有效,并且 安全模式 被开启时,PHP_AUTH 变量将不会被设置,但无论如何, REMOTE_USER 可以被用来辨认外部认证的用户,因此可以用 $_SERVER['REMOTE_USER'] 变量.
配置说明:PHP 用是否有 AuthType 指令来判断外部认证机制是否有效。
注意,这仍然不能防止有人通过未认证的 URL 来从同一服务器上认证的 URL 上偷取密码.
Netscape Navigator 和 Internet Explorer 浏览器都会在收到 401 的服务端返回信息时清空所有的本地浏览器整个域的 Windows 认证缓存,这能够有效的注销一个用户,并迫使他们重新输入他们的用户名和密码,有些人用这种方法来使登录状态“过期”,或者作为“注销”按钮的响应行为.
例子 34-3.强迫重新输入用户名和密码的 HTTP 认证的范例
<?php function authenticate () { header ( 'WWW-Authenticate: Basic realm="Test Authentication System"' ); header ( 'HTTP/1.0 401 Unauthorized' ); echo "You must enter a valid login ID and password to access this resourcen" ; exit; } if (!isset( $_SERVER [ 'PHP_AUTH_USER' ]) || ( $_POST [ 'SeenBefore' ] == 1 && $_POST [ 'OldAuth' ] == $_SERVER [ 'PHP_AUTH_USER' ])) { authenticate (); } else { echo "<p>Welcome: { $_SERVER [ 'PHP_AUTH_USER' ]} <br />" ; echo "Old: { $_REQUEST [ 'OldAuth' ]} " ; echo "<form action=' { $_SERVER [ 'PHP_SELF' ]} ' METHOD='post'> n " ; echo "<input type='hidden' name='SeenBefore' value='1' />n" ; echo "<input type='hidden' name='OldAuth' value=' { $_SERVER [ 'PHP_AUTH_USER' ]} ' /> n " ; echo "<input type='submit' value='Re Authenticate' />n" ; echo "</form></p>n" ; } ?>
在下例中,我们是使用$PHP_AUTH_USER和$PHP_AUTH_PW这两个变量来验证进入者是否合法并允许进入。在本例中被允许登录的用户名称和密码对分别为tnc和nature:
<?php if(!isset($PHP_AUTH_USER)) { Header("WWW-Authenticate: Basic realm="My Realm""); Header("HTTP/1.0 401 Unauthorized"); echo "Text to send if user hits Cancel buttonn"; exit; } else { if ( !($PHP_AUTH_USER=="tnc" && $PHP_AUTH_PW=="nature") ) { // 如果是错误的用户名称/密码对,强制再验证 Header("WWW-Authenticate: Basic realm="My Realm""); Header("HTTP/1.0 401 Unauthorized"); echo "ERROR : $PHP_AUTH_USER/$PHP_AUTH_PW is invalid."; exit; } else { echo "Welcome tnc!"; } ?>
根据指定的验证信息核实用户身份:
首先,我们可以使用以下代码确定用户是否已经输入了用户名和密码,并显示出用户输入的信息.
<?php if (!isset($PHP_AUTH_USER)) { header('WWW-Authenticate: Basic realm="My Private Stuff"'); header('HTTP/1.0 401 Unauthorized'); echo 'Authorization Required.'; exit; } else { echo "<P>You have entered this username: $PHP_AUTH_USER<br> You have entered this password: $PHP_AUTH_PW<br> The authorization type is: $PHP_AUTH_TYPE</p>"; } ?>
isset()函数用于确定某个变量是否已被赋值,根据变量值是否存在,返回true或false.
header()函数用于发送特定的HTTP标头,注意,使用header()函数时,一定要在任何产生实际输出的HTML或PHP代码前面调用该函数.
虽然上述代码相当简单,没有根据任何实际值对用户输入的用户名和密码进行有效验证,但是至少我们了解了如何使用PHP在客户端产生输入对话框.
下面,我们就来了解一下如何根据指定的验证信息核实用户身份,代码如下:
<?php if (!isset($PHP_AUTH_USER)) { header('WWW-Authenticate: Basic realm="My Private Stuff"'); header('HTTP/1.0 401 Unauthorized'); echo 'Authorization Required.'; exit; } else if (isset($PHP_AUTH_USER)) { if (($PHP_AUTH_USER != "admin") || ($PHP_AUTH_PW != "123")) { header('WWW-Authenticate: Basic realm="My Private Stuff"'); header('HTTP/1.0 401 Unauthorized'); echo 'Authorization Required.'; exit; } else { echo "<P>You're authorized!</p>"; } } ?>
另一种简易的密码验证
如果你是在windows98下面编写和运行着你的PHP脚本,或者是你在Linux下面按默认设置,将PHP安装成一个CGI程序的话,你将无法使用上面的PHP程序来实现验证功能,为此,无边给大家提供了另外一种简易的密码验证的方法,虽然实用性不大,但是拿来学习还是挺好的.
<?php if($_POST[Submit]=="提交"){ //如果用户提交了数据,则执行操作 $password=$_POST[password]; //获取用户输入的数据,并保存在变量 password 中 $cpassword=$_POST[cpassword]; //获取用户输入的确认数据,保存在变量 $cpassord 中 if(emptyempty($password) || emptyempty($cpassword)) { die("密码不可空!"); } elseif ( ((strlen($password) < 5) || (strlen($password) > 15))) { die("密码长度在5和15之间"); } //--- 值比较 elseif ( !(strlen($password) == strlen($cpassword)) ) { die("两次输入密码不匹配! "); } elseif( !($password === $cpassword)) //值和数据类型比较 { die("两次密码不匹配! "); } else //循环输出密码,因为是密码所以输出*号 { for ($i=0;$i<strlen($password);$i++) { echo "*"; } } } ?> <html> <head> <meta http-equiv="Content-Type" content="text/html; charset=gb2312"> <title>表单验证-密码字段验证</title> </head> <body> <form name="form1" method="post" action="<?=$_SERVER['PHP_SELF'] ?>"> 请输入密码:<input type="text" name="password"><br> 确认密码:<input type="password" name="cpassword"><br> <input type="submit" name="Submit" value="提交"> </form> </body> </html>
希望本文所述对大家的php程序设计有所帮助。