在除了使用Web服务器内置的认证功能,我们还可以使用简短的PHP代码来实现整个HTTP的验证过程。在PHP脚本中,我们可以使用函数header()直接给客户端的浏览器发送HTTP标头,然后在客户端将会自动弹出用户名和密码输入窗口,就可以实现我们的身份认证功能了。
标头是服务器以HTTP协定传送HTML信息到浏览器前所送出的字串,关于这方面的资料请自已看相关书籍!
在PHP中,客户端用户输入的信息传送到服务器之后自动保存在 $PHP_AUTH_USER,$PHP_AUTH_PW,以及 $PHP_AUTH_TYPE这三个全局变量中。利用这些变量,我们可以根据实现保存在数据文件或者数据库中用户帐号信息来验证用户身份!
不过,需要提醒使用者注意的一点是:只有在以模块方式安装的PHP中才能使用$PHP_AUTH_USER,$PHP_AUTH_PW,以及 $PHP_AUTH_TYPE这三个变量。如果用户使用的是CGI模式的PHP则无法实现验证功能。关于以模块方式安装PHP的方法请看其它资料。
下面我们使用一个Mysql数据库来指定的验证信息核实用户身份。为了能够有效地利用数据文件中的信息,我们需要从数据库中提取每个帐号的用户名和密码以便与$PHP_AUTH_USER和$PHP_AUTH_PW变量进行比较。
首先,我们需要一个有用户的数据库:
************************
create table access(
ID INT(6) NOT NULL AUTO_INCREMENT,
name VARCHAR(8) NOT NULL,
password CHAR(8) NOT NULL,
class CHAR(2) DEFAULT '0' NOT NULL,
PRIMARY KEY(ID)
)
************************
以上数据库中,ID为一个序列号,不为零而且自动递增;name为用户名,不能为空;password为用户密码,
不能为空,class为用户的级别。
******************************************
//这是文件access_mysql.php
/*验证用户身份信息*/
if(!isset($PHP_AUTH_USER))
{
header("WWW-Authenticate:Basic realm="身份验证功能"");
header("HTTP/1.0 401 Unauthorized");
echo "身份验证失败,您无权登录到本站!";
exit();
}
/*连接数据库*/
mysql_counter("localhost","root");
/*查询用户是否存在*/
$query="select name,password,class from access where name='$PHP_AUTH_USER' and
password='$PHP_AUTH_PW'";
$result=mysql_db_query("数据库",$query);
$r=mysql_fetch_array($result);
/*如果用户不存在,提示用户重新输入 */
if(!$r)
{
header("WWW-Authenticate:Basic realm="身份验证功能"");
header("HTTP/1.0 401 Unauthorized");
echo "身份验证失败,您无权登录到本站!";
exit();
}
.......//身份验证成功,继续进行
.......
.......
.......
?>
********************************************
该程序中,我们首先检查变量$PHP_AUTH_USER是否已经设置。如果没有设置,说明需要验证,脚本发出HTTP
401错误号头标,告诉客户端的浏览器需要进行身份验证,由客户端的浏览器弹出一个身份验证窗口,提示用户输入用户名和密码,输入完成后,连接数据库,查询该用户是否存在,并且密码是否正确,如果正确,允许登录,如果不正确,继续要求用户输入用户名和密码。