LINUXSOFT.cz
Username: Password:     
    CZ UK PL

> PHP (50) - Ověřování uživatelů

Jak pomocí PHP zajistit, aby se uživatel musel před shlédnutím stránky přihlásit?

29.9.2004 15:00 | Petr Zajíc | read 62108×

DISCUSSION   

Weby psané pomocí PHP se málokdy skládají z jedné stránky. Většinou jde o sadu stránek, které jsou vzájemně nějak provázané a které zajišťují různé úkoly. S tím souvisí otázka zabezpečení - asi nebudete chtít pouštět uživatele na administrační stránku. Dnes si tedy ukážeme, jak pomocí PHP přihlásit uživatele.

Ono to má související problém, a tím je sdílení dat mezi více stránkami. Tomu se budeme postupně věnovat v následujících dílech seriálu. Ale pochopitelně to, zda je uživatel přihlášen je rovněž často potřeba vědět na více stránkách.

Ověřování pomocí WWW-Authenticate

Mějme například následující stránku PHP:

<?
$server
="mysql.linuxsoft.cz";
$user="Petr Zajíc";
$password="heslo";
echo
"Při přihlášení se musí použít server <B>$server</B>,
uživatel <B>$user</B> a heslo <B>$password</B>."
;
?>

Asi chápete, že sem byste běžného uživatele pustit nechtěli. Pomocí PHP však můžete povolit vstup pouze autentifikovaným uživatelům. Princip je velmi jednoduchý. Musíte donutit server, aby si myslel, že ke stránce nemá přístup kdekdo, a požádal Vás o autentifikaci. To lze provést pomocí jedné z hlaviček protokolu http:

Header("WWW-Authenticate: Basic realm=\"oblast_hesel\"");
Header("HTTP/1.0 401 Unauthorized");

Jakmile tato hlavička dorazí na server, neodešle klientovi (tedy prohlížeči) tělo stránky, ale požadavek na autentifikaci. Takže se Vám v prohlížeči objeví klasické okno pro zadání jména a hesla. To je pak odesláno zpět na server a (což je pro nás důležité) uloženo pro další práci jako součást informací v asociativním poli $_SERVER. Konkrétně je to takto:

Informace
Získaná pomocí
Je v proměnné
Uživatelské jméno
kolonky "jméno uživatele" přihlašovacícho dialogu
$_SERVER['PHP_AUTH_USER']
Heslo
kolonky "heslo" přihlašovacícho dialogu $_SERVER['PHP_AUTH_PW']
Typ autentifikace
hodnoty hlavičky WWW-Authenticate (PHP umí jen typ Basic)
$_SERVER['AUTH_TYPE']

Aby nedošlo k mýlce - ověření jména a hesla musíme provést sami. Uvedený postup jméno a heslo pouze od uživatele získal, informace však nijak neporovnával s žádným seznamem povolených uživatelů a/nebo hesel. Můžete například ověřit jméno a heslo proti databázi nebo je porovnat s údaji v samotném skriptu.

Pozn.: Uvedené věci platí ovšem jen tehdy, pokud PHP běží jako modul Apache. Jestliže běží jako interpreter CGI, nebude to fungovat.

Praxe

V praxi musíte pamatovat ještě na pár technických detailů. Příjemné je například to, že po úspěšném ověření jsou přihlašovací informace pro daný realm k dispozici i dalším skriptům, a to až do odhlášení nebo uzavření prohlížeče. Z toho vyplývají dvě věci:

  • můžete napsat přihlašovací skript a včlenit jej do více stránek
  • přihlašovací skript by měl nejprve zjistit, zda již autentifikace neproběhla. Pokud neproběhla měl by ji provést; pokud však již proběhla, měl by autentifikační údaje ověřit

Mějme tedy jako příklad dvě "super tajné" stránky. Všimněte si, že z každé vede odkaz na tu druhou:

Ukázat skript 1 | Spustit skript 1

Ukázat skript 2 | Spustit skript 2

Jestliže budeme chtít, aby na obě stránky měl přístup pouze uživatel Honza s heslem jezevec, půjdeme na to následovně: Nejprve si vytvoříme soubor auth.php, který bude obsluhovat ověřování:

<?
if (!IsSet($_SERVER["PHP_AUTH_USER"]))
  {
  
Header("WWW-Authenticate: Basic realm=\"Hesla\"");
  
Header("HTTP/1.0 401 Unauthorized");
  echo
"Přístup pouze na uživatelské jméno a heslo.";
  exit;
  }
  else
    {
      if (
$_SERVER["PHP_AUTH_USER"]!="Honza") { echo "Neplatné přihlašovací jméno!"; exit;}
      if (
$_SERVER["PHP_AUTH_PW"]!="jezevec") { echo "Neplatné heslo!"; exit;}
    }
?>

A následně pomocí direktivy require tento soubor vložíme na začátek našich dvou skriptů. Výsledek bude tento:

Ukázat skript 1 | Spustit skript 1

Ukázat skript 2 | Spustit skript 2

Všimněte si, že ověřování můžete zkazit jenom jednou, protože pak si již server zadané údaje pamatuje. To je trošičku nevýhoda uvedeného postupu, ale je víceméně jediná. Rovněž si všimněte, že po ověření z libovolného z obou skriptů je automaticky k dispozici i ten druhý.

V dalším díle našeho seriálu se podíváme na lehce příbuzné téma - a tím bude sdílení informací mezi stránkami.

 

DISCUSSION

For this item is no comments.

Add comment is possible for logged registered users.
> Search Software
> Search Google
1. Pacman linux
Download: 4879x
2. FreeBSD
Download: 9067x
3. PCLinuxOS-2010
Download: 8564x
4. alcolix
Download: 10949x
5. Onebase Linux
Download: 9661x
6. Novell Linux Desktop
Download: 0x
7. KateOS
Download: 6245x

1. xinetd
Download: 2413x
2. RDGS
Download: 937x
3. spkg
Download: 4762x
4. LinPacker
Download: 9968x
5. VFU File Manager
Download: 3199x
6. LeftHand Mała Księgowość
Download: 7203x
7. MISU pyFotoResize
Download: 2811x
8. Lefthand CRM
Download: 3563x
9. MetadataExtractor
Download: 0x
10. RCP100
Download: 3121x
11. Predaj softveru
Download: 0x
12. MSH Free Autoresponder
Download: 0x
©Pavel Kysilka - 2003-2024 | mailatlinuxsoft.cz | Design: www.megadesign.cz