php透過會話控制實現身份驗證的實例程式碼

本文介紹了php透過會話控制實現身份驗證實例，身份的驗證是透過session提交資料的。有需要的朋友可以來了解一下。

會話控制的想法是指能夠在網站中根據一個會話追蹤使用者。這裡整理了詳細的程式碼,有需要的小夥伴可以參考下。

概述

http 協定是無狀態的，對於每個請求，服務端無法區分使用者。 PHP 會話控制就是給了使用者一把鑰匙(一個加密session字串)，同時這也是使用者身分的一個證明，服務端存放了這把鑰匙能打開的箱子(資料庫，記憶體資料庫或是使用檔案做的)，箱子裡面裝的就是使用者的各個變數資訊。

傳統的php session 使用

<?php
//page1.php 启动一个会话并注册一个变量
session_start();
$_SESSION[&#39;user_var&#39;] = "hello,codekissyoung!";
//这里的可以将$_SESSION理解为用户的箱子，实际的实现是php在服务器端生成的小文件
?>

<?php
//page2.php
session_start();
echo $_SESSION[&#39;user_var&#39;];//通过钥匙访问自己的箱子内的变量
$_SESSION[&#39;user_var&#39;] = "bey,codekissyoung!";
?>

<?php
//page3.php 销毁钥匙,一般在用户注销时，访问page3.php文件
session_start();
session_destroy();
?>

提一個問題，鑰匙呢？沒看見給用戶鑰匙的操作啊？

這個操作是php背後幫我們做了的，自從你訪問page1.php 程式運行，session_start();這句話時，php 會根據此刻的一些條件(用戶ip,瀏覽器號，時間等)產生一個PHPSESSID變量，http response 回客戶端後，這個PHPSESSID就已經存在你的瀏覽器cookie裡了，每次你再次訪問這個域名時，該PHPSESSID都會發送到服務端。這個PHPSESSID 就是我這裡說的用戶鑰匙了。

再一個問題，這個PHPSESSID的安全性，它是否容易被竊取，是否容易被偽造，是否容易被竄改？

使用 Https 可以防止被竄改。不使用PHPSESSID,而是自己產生一把秘鑰給使用者可以防止被偽造。至於是否容易被竊取，還真沒怎麼研究過。例如如果你電腦連網，駭客入侵你電腦。

將產生的秘鑰存入瀏覽器cookie中

• #設定cookie

• setCookie ('key','value',time()+3600);

• #刪除cookie

• setCookie('key','' ,time()-1);

實作單一登入:session共用

單一登入：多個子系統之間共用一套使用者驗證體系，在其中一處登錄，就可以存取所有子系統。

試想這麼一種情境：假設伺服器A與B的php環境一致。用戶在 伺服器A 上拿到了自己的鑰匙，然後他拿著這把鑰匙去訪問伺服器B,請問伺服器B認識麼？

很顯然不能，伺服器A產生的鑰匙，伺服器並不認識。

解決方法：使用者無論存取A或B,產生的鑰匙我都儲存在C（同一個資料庫，或快取系統）中，使用者再次存取A或B時，A和B都去問下C:這個用戶的鑰匙對麼？對的話，使用者就可以使用自己存在A或B那裡的箱子了。

<?php
session_regenerate_id();//重置　session 　字符
$session_info=array(&#39;uid&#39;=>$uid,&#39;session&#39;=>session_encrypt(session_id().time()));
//下一步将，$session_info 存到　C 中
?>

下面是php透過會話控制實作驗證實例

身份驗證應用程式主體：authmain.PHP

<?php 
//开启一个会话 
session_start(); 
 
if((!isset($userid))||(!isset($password))) { 
  $userid=$_POST[&#39;userid&#39;]; 
  $password=$_POST[&#39;password&#39;]; 
//连接数据库 
$db_conn=new mysqli("localhost", "root", "","auth"); 
if(mysqli_connect_errno()){ 
  echo &#39;连接数据库失败：&#39;.mysqli_connect_error(); 
  exit(); 
} 
//执行SQL查询语句 
$query="SELECT * FROM authorized_users WHERE name=&#39;".$userid."&#39; and password=sha1(&#39;".$password."&#39;)"; 
$result=$db_conn->query($query); 
if($result->num_rows>0){ 
  //注册一个会话变量 
  $_SESSION[&#39;valid_user&#39;]=$userid; 
} 
//断开数据库连接 
$db_conn->close(); 
} 
?> 
<!DOCTYPE html> 
<html> 
<head> 
  <meta charset="UTF-8"> 
  <title>身份验证</title> 
</head> 
<body> 
<h1 id="主页">主页</h1> 
<?php 
//判断用户是否已经登录 
if(isset($_SESSION[&#39;valid_user&#39;])){ 
  echo $_SESSION[&#39;valid_user&#39;].&#39;,您好，你已经登录&#39;; 
  echo &#39;<a href="logout.php">退出登录</a><br/>&#39;; 
}else{ 
  if(isset($userid)){ 
    echo &#39;您没有登录成功&#39;; 
  }else{ 
    echo &#39;您还没有登录<br/>&#39;; 
  } 
  ?> 
  <form method="post" action="authmain.php"> 
    <p>用户名：<input type="text" name="userid"></p> 
 
    <p>密码：<input type="password" name="password"></p> 
 
    <p><input type="submit" name="submit" value="登录"></p> 
  </form> 
<?php 
} 
?> 
<br/> 
<a href="members_only.php">登录进入</a> 
 
</body> 
</html>

網站的有效使用者檢查：members_only.php

<!DOCTYPE html> 
<html> 
<head> 
  <meta charset="UTF-8"> 
  <title>身份验证</title> 
</head> 
<body> 
<?php 
//启用会话 
session_start(); 
 
echo &#39;<h1 id="会员有效">会员有效</h1>&#39;; 
if(isset($_SESSION[&#39;valid_user&#39;])){ 
  echo "<p>".$_SESSION[&#39;valid_user&#39;].",您好，您已经登录成功</p>"; 
  echo &#39;<p>会员可享受折扣优惠</p>&#39;; 
}else{ 
  echo &#39;<p>您还没有登录成功</p>&#39;; 
  echo &#39;<p>只有登录成功才能查看此页</p>&#39;; 
} 
echo &#39;<a href="authmain.php">返回主页</a>&#39;; 
?> 
</body> 
</html>

註銷會話變數並銷毀會話：logout.php

<?php 
//启用会话 
session_start(); 
$olduser=$_SESSION[&#39;valid_user&#39;]; 
//注销会话变量 
unset($_SESSION[&#39;valid_user&#39;]); 
//销毁会话 
session_destroy(); 
?> 
<!DOCTYPE html> 
<html> 
<head> 
  <meta charset="UTF-8"> 
  <title>退出登录</title> 
</head> 
<body> 
<h1 id="您退出登录了">您退出登录了！</h1> 
<?php 
if(!empty($olduser)){ 
  echo &#39;退出登录了<br/>&#39;; 
}else{ 
  echo &#39;您没有登录过，所以当然也不存在退出登录<br/>&#39;; 
} 
?> 
<a href="authmain.php">返回主页</a> 
</body> 
</html>

以上是php透過會話控制實現身份驗證的實例程式碼的詳細內容。更多資訊請關注PHP中文網其他相關文章！