Comment utiliser PHP pour implémenter des fonctions de contrôle d'autorisation

Le contrôle des autorisations est une exigence courante de développement Web, qui permet aux applications Web de fournir différents droits d'accès à différents utilisateurs. En PHP, le contrôle des autorisations peut être effectué de différentes manières. Cet article se concentrera sur l'utilisation de la session et de la base de données pour réaliser le contrôle des autorisations.

1. Utilisez Session pour contrôler les autorisations

Session est une technologie de gestion d'état couramment utilisée dans le développement Web. En enregistrant les informations utilisateur dans Session, nous pouvons partager ces informations entre plusieurs pages de l'application. Afin de mettre en œuvre le contrôle des autorisations, nous pouvons enregistrer les informations de l'utilisateur dans la session une fois que l'utilisateur s'est connecté et vérifier si la session existe dans la page qui nécessite un contrôle des autorisations pour déterminer si l'utilisateur a l'autorisation d'accéder à la page.

Ce qui suit est un exemple simple d'utilisation de Session pour implémenter le contrôle des autorisations :

1. Page de connexion (login.php)

<?php
session_start();
if ($_SERVER['REQUEST_METHOD'] == 'POST') {
  // 验证登录
  $username = $_POST['username'];
  $password = $_POST['password'];
  if ($username == 'admin' && $password == '1234') {
    // 登录成功，保存用户信息到Session
    $_SESSION['user'] = array(
      'username' => $username,
      'role' => 'admin' // 权限角色
    );
    header('Location: index.php');
    exit;
  } else {
    // 登录失败
    $error = '用户名或密码错误';
  }
}
?>
<!DOCTYPE html>
<html>
<head>
  <meta charset="UTF-8">
  <title>登录</title>
</head>
<body>
  <h1>登录</h1>
  <form method="post">
    <label>用户名：</label><input type="text" name="username"><br>
    <label>密码：</label><input type="password" name="password"><br>
    <input type="submit" value="登录"><br>
    <?php if (isset($error)) { echo $error; } ?>
  </form>
</body>
</html>

2. Page qui nécessite un contrôle d'autorisation (index.php)

<?php
session_start();
// 检查Session是否存在，判断用户是否登录
if (!isset($_SESSION['user'])) {
  header('Location: login.php');
  exit;
}
// 检查用户角色，判断用户是否有权限访问该页面
if ($_SESSION['user']['role'] != 'admin') {
  header('Location: unauthorized.php');
  exit;
}
?>
<!DOCTYPE html>
<html>
<head>
  <meta charset="UTF-8">
  <title>首页</title>
</head>
<body>
  <h1>欢迎您，<?php echo $_SESSION['user']['username']; ?></h1>
  <p>这是管理员页面，只有管理员才能访问。</p>
  <a href="logout.php">退出登录</a>
</body>
</html>

3. Quitter la page de connexion ( logout. php)

<?php
session_start();
// 销毁Session，用户退出登录
session_destroy();
header('Location: login.php');
exit;
?>

2. Utiliser la base de données pour implémenter le contrôle des autorisations

Dans l'exemple d'utilisation de Session pour implémenter le contrôle des autorisations, les informations utilisateur sont enregistrées dans la session. Si l'application Web dispose de plusieurs serveurs en même temps, le partage. des informations de session peuvent causer des problèmes. À l'heure actuelle, nous pouvons enregistrer les informations utilisateur dans la base de données pour obtenir un contrôle des autorisations dans un environnement distribué.

Ce qui suit est un exemple simple d'utilisation d'une base de données MySQL pour implémenter le contrôle des autorisations :

1. Création d'une table utilisateur

CREATE TABLE `users` (
  `id` int(11) NOT NULL AUTO_INCREMENT,
  `username` varchar(50) NOT NULL,
  `password` varchar(50) NOT NULL,
  `role` varchar(50) NOT NULL,
  PRIMARY KEY (`id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8;

2. Traitement de la connexion utilisateur (login.php)

<?php
session_start();
$user = null;
if ($_SERVER['REQUEST_METHOD'] == 'POST') {
  // 验证登录
  $username = $_POST['username'];
  $password = $_POST['password'];
  // 查询用户信息
  $con = mysqli_connect('localhost', 'root', '', 'test');
  $sql = "SELECT * FROM users WHERE username='$username' AND password='$password'";
  $result = mysqli_query($con, $sql);
  $user = mysqli_fetch_assoc($result);
  mysqli_close($con);
  // 验证用户信息，保存用户信息到Session
  if ($user != null) {
    $_SESSION['user'] = $user;
    header('Location: index.php');
    exit;
  } else {
    // 登录失败
    $error = '用户名或密码错误';
  }
}
?>
<!DOCTYPE html>
<html>
<head>
  <meta charset="UTF-8">
  <title>登录</title>
</head>
<body>
  <h1>登录</h1>
  <form method="post">
    <label>用户名：</label><input type="text" name="username"><br>
    <label>密码：</label><input type="password" name="password"><br>
    <input type="submit" value="登录"><br>
    <?php if (isset($error)) { echo $error; } ?>
  </form>
</body>
</html>

3. Pages qui nécessitent un contrôle des autorisations (index .php)

<?php
session_start();
// 检查Session是否存在，判断用户是否登录
if (!isset($_SESSION['user'])) {
  header('Location: login.php');
  exit;
}
// 检查用户角色，判断用户是否有权限访问该页面
if ($_SESSION['user']['role'] != 'admin') {
  header('Location: unauthorized.php');
  exit;
}
?>
<!DOCTYPE html>
<html>
<head>
  <meta charset="UTF-8">
  <title>首页</title>
</head>
<body>
  <h1>欢迎您，<?php echo $_SESSION['user']['username']; ?></h1>
  <p>这是管理员页面，只有管理员才能访问。</p>
  <a href="logout.php">退出登录</a>
</body>
</html>

4. Quitter la page de connexion (logout.php)

<?php
session_start();
// 销毁Session，用户退出登录
session_destroy();
header('Location: login.php');
exit;
?>

Résumé :

Cet article présente comment implémenter le contrôle des autorisations à l'aide de la session et de la base de données. Le contrôle des autorisations implémenté à l'aide de Session est simple et adapté aux petites applications Web ; le contrôle des autorisations implémenté à l'aide d'une base de données est plus flexible et plus adapté aux grandes applications Web. Quelle que soit la méthode utilisée, l’essentiel est de comprendre les principes et les méthodes de mise en œuvre du contrôle des autorisations pour garantir la sécurité et la stabilité des applications Web.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!