计算机专业教程-第13章认证.pdfVIP

下载 第13章 认 证 认证( a u t h e n t i c a t i o n )是确认一个用户是否合法 ,是否有合适的权限来访问被保护的资源的 过程。在We b应用程序中，认证使开发者可以通过帐号和口令来限制用户对特定文档、目录 甚至整个应用程序的访问权限。认证专家 Brad Morton对本章的写作提供了很大的帮助。 在当今I n t e r n e t 的大部分大型的产品化网络应用程序中，认证都是其中一个非常完整的组 成部分。对安全性的要求迫使开发者找到一种方法对他们的用户进行认证。实现认证的方法 有很多，从简单到复杂，包括下面这些示例： • h t a c c e s s─使用分级方式保护文档和目录，这个功能由服务器实现，只需指定用户名 和要保护的目录。 • database tables─使用自行设计的任何认证系统保护任何类型的资源。本章中，我们讨 论用户名和密码的保护。 这些认证方法可以单独使用，也可以相互配合起来使用，这里的示例代码都很简单，需 要对它们进行修改然后才能用于产品化的环境中。 没有必要深入研究认证的用法，因为每个常在网上浏览的人，都会碰到过要求提供用户 名和密码的登录页面或输入对话框。 我们要探讨的是执行细节，但是首先需要理解H T T P标题信息以及它和认证过程之间的关系。 13.1 HTTP认证 H T T P 认证规范是 W e b 服务器对它的用户进行确认而定义的一个简单的挑战 / 回应 ( c h a l l e n g e / r e s p o n s e )方案。如果一个用户试图访问被保护的资源， We b服务器就会返回一个 H T T P 4 0 1号状态回应标题（表示用户没有权限），这个回应中还包括认证方案（B a s i c或D i g e s t ） 和域（r e a l m ）名称。B a s i c认证使用非加密的密码，而 D i g e s t认证要求使用加密的密码。域名 称描述了被保护的资源并且帮助用户记住所使用的用户名和密码。当浏览器收到一个 4 0 1 号错 误时，它便给用户提供一个对话框来输入用户名和密码，如果使用 B a s i c认证，浏览器就再次 请求资源，这时返回一个包含认证方案名和 b a s e 6 4 编码的用户名和密码的认证请求 H T T P标 题。 如果服务器不接收认证，它就会再返回一个 4 0 1 错误，表示认证被拒绝或再次要求认证， 浏览器会提示用户再次输入用户名和口令。如果服务器接受了认证，请求的页面就会发送给 客户浏览器。 在此后的所有请求，浏览器都将发送认证 H e a d e r信息，允许用户访问同一个域中的所有 页面而不必对每个页面进行登录认证。这种方法的缺点是难于使浏览器对新的用户名和密码 给出提示。 P H P 把认证信息保存在三个变量中： $ P H P _ A U T H _ U S E R 、$ P H P _ A U T H _ P W 和 $ P H P _ A U T H _ T Y P E ，当前还只支持B a s i c认证。通过使用 P H P 的H e a d e r 函数和这些变量，我 们可以实现简单形式的认证。下面的清单 1 3 - 1中的程序提供一个对话框，要求用户输入用户 206计计PHP3 程序设计 下载 名和密码，这个对话框还可以指定被保护的域和资源，然后，脚本检查用户名和密码，并把 它们打印到屏幕上。很明显，这个脚本没有做任何工作，所以它并没有用，但是，它向我们 显示了P H P 是如何使用H T T P标题来处理H T T P 认证的。后面我们将看到一个例子，显示如何 将H T T P认证和对数据库的查找结合起来，以对客户的用户名和密码进行认证。 清单1 3- 1 a u t h 0 1 . p h p 3 上面清单 1 3 - 1中的代码只有在P H P被编译成A PA C H E模块时（参看第 2 章）才可以执行， P H P 的C G I版本没有接管H T T P认证部分。注意在H T T P标题信息之前，不能返回