本文介绍如何用Perl来管理Apache验证身份时所用的密码,包括如何加密密码,如何修改文本文件、DBM数据库、MySQL数据库中的用户记录,等等。
一、加密密码(3月26日)
前面三篇文章讨论了在Apache上实现身份验证的各种方法,即如何在用户访问某些受保护的资源时显示一个要求输入名字和密码的对话框。手工管理密码往往是非常麻烦的,这里要介绍的就是一些通过Perl自动维护密码列表的方法。
注意:本文假定你已经具备一些Perl的基础知识。如果你还没有听说过Perl,下面是一个简单的介绍:Perl是一种编程语言。它是一种非常流行的编程语言,在文本处理、端口通信、协调多个不同应用以及完成其他诸多任务时都受到人们的欢迎。Perl同时也是一种颇有名气的流行CGI编程语言,不过这只是Perl诸多应用中的一种。
在用户和密码的管理中,掌握加密密码的方法是非常必要和有用的。Perl提供了一个内建的函数来完成这一任务,这个函数就是crypt。要使用这个函数,你必须先搞清楚下面这些问题。
首先,正如以前的一篇文章所提到的,Apache以“Unix crypt”格式保存密码,用Perl的crypt函数加密字符串得到的也是这种格式。为加密字符串,我们需要一个称为“salt”的字符串,它是两个(或者两个以上)字符构成的字符串,用于启动加密过程。salt一般是随机生成的,根据所选salt的不同加密字符串之后得到的结果也不同。
在Perl程序中调用crypt函数的形式如下所示:
$encrypted = crypt ($password, $salt);
上例假定$password已经由用户通过某种方式提供,$salt已经通过某种方式生成。请参见下面的更多说明。
crypt是一种不可逆的加密算法,也就是说,一旦我们加密了一个字符串就没有办法把它还原得到原来的字符串。这意味着,要知道用户输入的密码是否和正确的密码一样,唯一的方法是把用户输入的密码也加密,看看加密结果是否和正确密码的加密结果一样。当然,两次加密所用的salt应该一样。 crypt函数把加密所用的salt作为加密结果的前两个字符保留,所以我们可以用如下代码验证用户输入的密码是否正确:
$guess_encrypted = crypt ($guess, $encrypted);
if ($guess_encrypted eq $encrypted) {
print "密码正确.\n";
}
else {
print "密码错误.\n";
}
当我们为salt指定一个具体的字符串时,Perl知道且只使用该字符串的前面两个字符:
顺便说一下,如果要自己生成salt,我们可以使用下面的代码:
@a=(0..9,&single;a&single;..&single;z&single;);
$pass = join &single;&single;, map { $a[int rand @a] } (0..1);
这段代码生成了一个由两个字符构成的字符串,字符可能是字母也可能是数字。当然,和Perl中的其他许多事情一样,我们还可以使用其他各种方法生成salt。
