PHP+APACHE를 사용하여 사용자 확인을 구현하는 방법
- PHP中文网원래의
- 2016-08-08 09:34:101364검색
전문 웹사이트에서는 본인 확인을 위해 사용자의 계좌번호와 비밀번호를 요구하는 경우가 많습니다. 초기 NCSA httpd 서버는 이러한 사용자 인증 기능을 제공하지 않았으며, 웹마스터는 수동으로 신원인증 CGI 프로그램만 생성할 수 있었습니다.
CERN httpd 이후 대부분의 웹 서버는 사용자 신원 확인 기능을 제공합니다. 각 웹 서버의 설정은 다르지만 설정은 유사합니다.
아파치 서버의 사용자 인증 설정은 다음과 같습니다.
<Directory /home/MyMember> AuthType Basic AuthName MyMember AuthUserFile /usr/local/MyMember.txt Options Includes ExecCGI <Limit GET POST> require valid-user </Limit> </Directory>
이 예에서는 사용자가 이미지 파일 및 기타 다양한 파일을 포함하여 MyMember 디렉터리의 모든 파일을 볼 때 확인이 필요합니다. 사용자의 계정과 비밀번호. 사용자의 계정과 비밀번호 파일은 /usr/local/MyMember.txt에 있습니다.
계정 비밀번호 파일 /usr/local/MyMember.txt는 다음 예와 같습니다. 콜론 앞의 문자열은 사용자 계정이고, 콜론 뒤의 문자열은 환원 불가능하게 암호화된 비밀번호입니다. 인코딩은 일반적으로 전통적인 DES 인코딩을 사용합니다. 이 경우에는 모두 3P입니다. 각 행은 사용자를 나타냅니다. 물론, 중복 계정 상황은 웹마스터가 스스로 통제해야 합니다. 특별한 점은 Win32 시스템에서 Apache가 실행되는 경우 Win32에서는 이 인코딩
API를 제공하지 않기 때문에 콜론 뒤의 비밀번호를 암호화할 수 없으므로 사용자 비밀번호가 일반 코드로 존재한다는 점입니다.
john1234:3PWudBlJMiwro queenwan:3PFNVLNPN9W0M noname00:3PEsXaJx5pk7E wilson49:3PjoWb0EnaG22 rootboot:3PIt0snI6.84E sun_moon:3PvymMeNOc.x. nobody38:3PbskPKwV94hw
Apache 버전 1.3.6에서는 ~apache/bin/htpasswd를 사용하여 단일 계정과 비밀번호를 생성할 수 있지만, 많은 양의 정보가 필요한 상업용 사이트의 경우, 이를 처리하려면 자신만의 프로그램을 작성해야 할 수도 있습니다. UNIX에서는 인코딩을 처리하려면 crypt()에 대한 호출이 필요합니다.
모든 설정이 완료되면 접속 시 브라우저에 비밀번호 확인 창이 나타납니다. 위 그림은 SEEDNet MySEED 웹사이트의 사용자 확인 메커니즘입니다. 계정과 비밀번호를 입력하면 브라우저는 이를 BASE64로 인코딩하여 서버로 전송합니다. 물론 BASE64는 인코딩만 하고 암호화는 하지 않기 때문에 인터넷에서 이런 종류의 전송에 대한 보안은 여전히 높지 않습니다. 중간에 실행자가 가로채서 BASE64로 복원할 수도 있습니다. 아마도 이 문제는 향후 다이제스트 인증(Digest)을 지원하고 md5 인코딩을 사용하면 해결될 수 있을 것입니다. 그 후에도 각 페이지에는 여전히 계정과 비밀번호가 필요하지만 브라우저가 자동으로 이를 전송하므로 더 이상 계정과 비밀번호를 입력할 필요가 없습니다. 이 측면은 브라우저가 닫힐 때까지 유지되며, 다음에 브라우저를 다시 실행할 때 처음으로 입력해야 합니다.
사용자 수가 적을 때는 위의 방법을 사용하면 쉽고 번거롭지 않습니다. 하지만 사용자가 수만, 심지어 수십만 명에 달할 경우에는 계정 비밀번호 검색으로 인해 전체 서버의 효율성이 떨어지게 되고, 한 페이지를 읽는 데도 수십 초에서 수분이 걸릴 수 있습니다. 이 경우 서버에서 제공하는 비밀번호 확인 메커니즘을 사용하는 것은 현명하지 않습니다. NSAPI를 사용하여 Netscape EnterPRise Server에서 고유한 검사 방법을 개발할 수 있으며 IIS에서 ISAPI 필터를 사용할 수도 있습니다. NSAPI/ISAPI를 호출하기 위해 C/C++ 프로그램을 작성하는 것은 항상 피곤한 일입니다. PHP에는 이 섹션의 주제이기도 한 또 다른 선택이 있습니다.
PHP의 HTTP 관련 함수 라이브러리에서는 header() 함수를 제공합니다. 많은 웹 서버-클라이언트 상호 작용은 이 기능을 사용하여 마법을 부릴 수 있습니다. 예를 들어, PHP 페이지의 시작 부분, 즉 첫 번째 또는 두 번째 줄에 다음 프로그램을 추가하면 사용자를 작성자의 웹 페이지로 리디렉션할 수 있습니다.
<?php
header("Location: http://wilson.gs");
exit;
?>
물론 위 프로그램 이후의 HTML 텍스트나 PHP 프로그램은 사용자 측에 절대 나타나지 않습니다.
같은 이유로 header()를 사용하여 사용자 인증 트릭을 수행합니다. PHP 시작 부분에서 사용자에게 문자열을 보내면 아래와 같은 창이 사용자에게 나타납니다.
<?php
Header("WWW-Authenticate: Basic realm="Member"");
Header("HTTP/1.0 401 Unauthorized");
?>在程式中字串 realm="Member" 中的 Member 字样出现在图中,当然若使用中文字取代,浏览器端也会出现中文字,如上面的 MySEED 图。若 Web 站台使用者还有其它语文,如英文或日文,送出中文的 realm 字串似乎就比较不合适。无论如何,这都要视站台的性质及使用者定位而决定。
当然这还是很粗糙,因为除了送出视窗后,就没有下文了,帐号输入正确也好,输入错误也罢,都不会有任何的结果。我们需要再更进阶的程式来处理。
在后端的使用认证上,考虑使用资料库作为储存帐号及密码的后端,在这种架构可以容纳许多的使用者,管它一万个使用者还是十万个使用者。若您的站已有数十万个使用者帐号,那么恭喜您,您的站算是世界级的大站了。MySQL 是个不错的选择,许多站台,甚至是商业化的站台都用它来做后端的资料库。当然您要架真正的商业站台,钱不是问题的话,那可以使用口碑最广的 Oracle 资料库系列。
要在 PHP 中使用任何资料库,都要先将资料库的伺服器端及客户端设定好,之后才编译 PHP 及 Apache 系统。
准备好 MySQL 及 PHP 之后,先在 MySQL 中加入新的资料库,本例是加入mymember,用别的名字当然也可以。MySQL 要加入资料库 (Database) 很容易,只要在MySQL 存放 Database 的地方 mkdir 就可以了。例如在 UNIX Shell 下打
hahaha:/usr/local/mysql/data# mkdir mymember
在建立了资料库之后,尚需要建立资料表格 (Table) 方能使用。设定的表格如下,可以将它储在 /tmp/memberauth.sql 中
CREATE TABLE MemberAuth ( Serial mediumint(9) NOT NULL auto_increment, Username char(8) NOT NULL, PassWord char(8) NOT NULL, Enable char(1) DEFAULT ’0’ NOT NULL, PRIMARY KEY (Serial) );
档案 memberauth.sql
先看看 memberauth.sql 的这些栏位。Serial 是个自动增加的整数栏位,每输入一笔资料,就会自动加一,这当然不能是空的栏位,于是就用 NOT NULL 了。第二个栏位是 Username,代表使用者的帐号,为了统一以及适应各系统起见,设定成八个字,当然这个栏位也不能是空的。Password 是第三个栏位,为使用者的密码。第四个栏位 Enable 做为帐号是否有效的旗标,设计上 0 表示无用,1 表可用,日后还可加入其它值做不同的用途。
设计好了资料表之后,就要将资料表加入资料库了。由于常要使用 MySQL 资料库,可以到 http://www.phpwizard.net/phpMyAdmin 下载 phpMyAdmin,使用浏览器操作及管理 MySQL,轻松又方便。若使用这套 phpMyAdmin 可以在它的使用者介面上输入memberauth.sql 加入 MySQL 中。或者也可以在 UNIX Shell 下输入下式,也是有同样的效果。
mysql mymember < /tmp/memberauth.sql
在准备好了之后,就可以输入使用者帐号及密码在 memberauth 资料表中了。当然还是使用 phpMyAdmin 方便,用 mysql 程式就要一笔笔的 INSERT 了。
接着进入了设计函式的阶段了。
<?php
file://---------------------------
// 使用者认证函式 auth.inc
// Author: Wilson Peng
// Copyright (C) 1999
file://---------------------------
$error401 = "/home/phpdocs/error/401.php";
if ($PHP_AUTH_PW=="") {
Header("WWW-Authenticate: Basic realm="超金卡会员"");
Header("HTTP/1.0 401 Unauthorized");
include($error401);
exit;
} else {
$db_id = mysql_pconnect("localhost", "myid", "mypw");
$result = mysql_db_query("mymember","select password, enable
from MemberAuth where username=’$PHP_AUTH_USER’");
$row = mysql_fetch_array($result);
$MemberPasswd = $row[0];
$MemberEnable = $row[1];
if ($MemberEnable==0) {
echo "您的帐号被停用了";
exit;
}
if ($PHP_AUTH_PW!=$MemberPasswd) {
Header("WWW-Authenticate: Basic realm="超金卡会员"");
Header("HTTP/1.0 401 Unauthorized");
include($error401);
exit;
}
}
?>Copyright (C) 1999, Wilson Peng
要使用这个 auth.inc,要在每个 PHP 的第一行加入
<? require("auth.inc"); ?> 。在加入本程式的 PHP 档案都会检查帐号密码,图片等就不会检查,比起使用 Web 伺服器功能的某目录下全都检查,PHP 显得有弹性多了。
$error401 = "/home/phpdocs/error/401.php";
这行表示在使用者按下取消,或检查失败时,要显示给使用者看的档案。
if ($PHP_AUTH_PW=="") {
Header("WWW-Authenticate: Basic realm="超金卡会员"");
Header("HTTP/1.0 401 Unauthorized");
include($error401);
exit;
} else到 else 之前,若没有传入密码,则送出输入密码的视窗。其中的
$PHP_AUTH_USER、$PHP_AUTH_PW 是 PHP 中特殊的变数,分别代表使用者确认的帐号及密码。上面的程式也是利用这二个变数来处理使用者认证。
$db_id = mysql_pconnect("localhost", "myid", "mypw");
$result = mysql_db_query("mymember","select password, enable from
MemberAuth where username=’$PHP_AUTH_USER’");
$row = mysql_fetch_array($result);
$MemberPasswd = $row[0];
$MemberEnable = $row[1];若使用者有输入帐号及密码,则向资料库查询。同时查核该使用者是否仍可使用。
if ($MemberEnable==0) {
echo "您的帐号被停用了";
exit;
}上四行程式为帐号被停用的情形。
if ($PHP_AUTH_PW!=$MemberPasswd) {
Header("WWW-Authenticate: Basic realm="超金卡会员"");
Header("HTTP/1.0 401 Unauthorized");
include($error401);
exit;
}密码错误则再次向使用者要求输入帐号及密码。
在实际使用时,可以视需要加入的网页再加入 auth.inc 这个档案,就不用连看张图形也要查一次密码,降低伺服器和使用者二端的资源。当然,和 MySQL 的连系上,可以使用 mysql_pconnect() 一直和 MySQL 伺服器连线。或是使用mysql_connect() 每次重新连线,用这个函式要记得早点使用 mysql_close() 将资料库关闭。下面的程式 auth1.inc 是另一版本的认证程式,就是开启连线后马上关闭,释放资源的例子。
以上就是PHP+APACHE实现用户验证的方法的内容,更多相关内容请关注PHP中文网(www.php.cn)!