LINUXSOFT.cz Přeskoč levou lištu
Uživatel: Heslo:  
   CZUKPL

> PHP (50) - Ověřování uživatelů

Jak pomocí PHP zajistit, aby se uživatel musel před shlédnutím stránky přihlásit?

29.9.2004 15:00 | Petr Zajíc | Články autora | přečteno 57109×

Weby psané pomocí PHP se málokdy skládají z jedné stránky. Většinou jde o sadu stránek, které jsou vzájemně nějak provázané a které zajišťují různé úkoly. S tím souvisí otázka zabezpečení - asi nebudete chtít pouštět uživatele na administrační stránku. Dnes si tedy ukážeme, jak pomocí PHP přihlásit uživatele.

Ono to má související problém, a tím je sdílení dat mezi více stránkami. Tomu se budeme postupně věnovat v následujících dílech seriálu. Ale pochopitelně to, zda je uživatel přihlášen je rovněž často potřeba vědět na více stránkách.

Ověřování pomocí WWW-Authenticate

Mějme například následující stránku PHP:

<?
$server
="mysql.linuxsoft.cz";
$user="Petr Zajíc";
$password="heslo";
echo
"Při přihlášení se musí použít server <B>$server</B>,
uživatel <B>$user</B> a heslo <B>$password</B>."
;
?>

Asi chápete, že sem byste běžného uživatele pustit nechtěli. Pomocí PHP však můžete povolit vstup pouze autentifikovaným uživatelům. Princip je velmi jednoduchý. Musíte donutit server, aby si myslel, že ke stránce nemá přístup kdekdo, a požádal Vás o autentifikaci. To lze provést pomocí jedné z hlaviček protokolu http:

Header("WWW-Authenticate: Basic realm=\"oblast_hesel\"");
Header("HTTP/1.0 401 Unauthorized");

Jakmile tato hlavička dorazí na server, neodešle klientovi (tedy prohlížeči) tělo stránky, ale požadavek na autentifikaci. Takže se Vám v prohlížeči objeví klasické okno pro zadání jména a hesla. To je pak odesláno zpět na server a (což je pro nás důležité) uloženo pro další práci jako součást informací v asociativním poli $_SERVER. Konkrétně je to takto:

Informace
Získaná pomocí
Je v proměnné
Uživatelské jméno
kolonky "jméno uživatele" přihlašovacícho dialogu
$_SERVER['PHP_AUTH_USER']
Heslo
kolonky "heslo" přihlašovacícho dialogu $_SERVER['PHP_AUTH_PW']
Typ autentifikace
hodnoty hlavičky WWW-Authenticate (PHP umí jen typ Basic)
$_SERVER['AUTH_TYPE']

Aby nedošlo k mýlce - ověření jména a hesla musíme provést sami. Uvedený postup jméno a heslo pouze od uživatele získal, informace však nijak neporovnával s žádným seznamem povolených uživatelů a/nebo hesel. Můžete například ověřit jméno a heslo proti databázi nebo je porovnat s údaji v samotném skriptu.

Pozn.: Uvedené věci platí ovšem jen tehdy, pokud PHP běží jako modul Apache. Jestliže běží jako interpreter CGI, nebude to fungovat.

Praxe

V praxi musíte pamatovat ještě na pár technických detailů. Příjemné je například to, že po úspěšném ověření jsou přihlašovací informace pro daný realm k dispozici i dalším skriptům, a to až do odhlášení nebo uzavření prohlížeče. Z toho vyplývají dvě věci:

  • můžete napsat přihlašovací skript a včlenit jej do více stránek
  • přihlašovací skript by měl nejprve zjistit, zda již autentifikace neproběhla. Pokud neproběhla měl by ji provést; pokud však již proběhla, měl by autentifikační údaje ověřit

Mějme tedy jako příklad dvě "super tajné" stránky. Všimněte si, že z každé vede odkaz na tu druhou:

Ukázat skript 1 | Spustit skript 1

Ukázat skript 2 | Spustit skript 2

Jestliže budeme chtít, aby na obě stránky měl přístup pouze uživatel Honza s heslem jezevec, půjdeme na to následovně: Nejprve si vytvoříme soubor auth.php, který bude obsluhovat ověřování:

<?
if (!IsSet($_SERVER["PHP_AUTH_USER"]))
  {
  
Header("WWW-Authenticate: Basic realm=\"Hesla\"");
  
Header("HTTP/1.0 401 Unauthorized");
  echo
"Přístup pouze na uživatelské jméno a heslo.";
  exit;
  }
  else
    {
      if (
$_SERVER["PHP_AUTH_USER"]!="Honza") { echo "Neplatné přihlašovací jméno!"; exit;}
      if (
$_SERVER["PHP_AUTH_PW"]!="jezevec") { echo "Neplatné heslo!"; exit;}
    }
?>

A následně pomocí direktivy require tento soubor vložíme na začátek našich dvou skriptů. Výsledek bude tento:

Ukázat skript 1 | Spustit skript 1

Ukázat skript 2 | Spustit skript 2

Všimněte si, že ověřování můžete zkazit jenom jednou, protože pak si již server zadané údaje pamatuje. To je trošičku nevýhoda uvedeného postupu, ale je víceméně jediná. Rovněž si všimněte, že po ověření z libovolného z obou skriptů je automaticky k dispozici i ten druhý.

V dalším díle našeho seriálu se podíváme na lehce příbuzné téma - a tím bude sdílení informací mezi stránkami.

Verze pro tisk

pridej.cz

 

DISKUZE

autentifikace kdyz php jede jako CGI 30.9.2004 12:49 CandySan
síť 30.9.2004 16:52 TomJir
L Re: síť 30.9.2004 19:58 Jan Houštěk
pamätať si údaje 16.10.2009 08:03 Tomas Teicher
L Re: pamätať si údaje 16.10.2009 13:43 Aleš Hakl
Více uživatelů 31.3.2010 23:46 Petr Volf




Příspívat do diskuze mohou pouze registrovaní uživatelé.
> Vyhledávání software
> Vyhledávání článků

14.11.2017 16:56 /František Kučera
Máš rád svobodný software a hardware nebo se o nich chceš něco dozvědět? Zajímá tě DIY, CNC, SDR nebo morseovka? Přijď na sraz spolku OpenAlt – tradičně první čtvrtek před třetím pátkem v měsíci: 16. listopadu od 18:00 v Radegastovně Perón (Stroupežnického 20, Praha 5).
Přidat komentář

12.11.2017 11:06 /Redakce Linuxsoft.cz
PR: 4. ročník odborné IT konference na téma Datová centra pro business proběhne již ve čtvrtek 23. listopadu 2017 v konferenčním centru Vavruška, v paláci Charitas, Karlovo náměstí 5, Praha 2 (u metra Karlovo náměstí) od 9:00. Konference o návrhu, budování, správě a efektivním využívání datových center nabídne odpovědi na aktuální a často řešené otázky, např Jaké jsou aktuální trendy v oblasti datových center a jak je využít pro vlastní prospěch? Jak zajistit pro firmu či jinou organizaci odpovídající služby datových center? Podle jakých kritérií vybrat dodavatele služeb? Jak volit součásti infrastruktury při budování či rozšiřování vlastního datového centra? Jak efektivně spravovat datové centrum? Jak eliminovat možná rizika? apod.
Přidat komentář

13.9.2017 8:00 /František Kučera
Máš rád svobodný software a hardware nebo se o nich chceš něco dozvědět? Zajímá tě DIY, CNC, SDR nebo morseovka? Přijď na sraz spolku OpenAlt – tentokrát netradičně v pondělí: 18. září od 18:00 v Radegastovně Perón (Stroupežnického 20, Praha 5).
Přidat komentář

3.9.2017 20:45 /Redakce Linuxsoft.cz
PR: Dne 21. září 2017 proběhne v Praze konference "Mobilní řešení pro business". Hlavní tématy konference budou: nejnovější trendy v oblasti mobilních řešení pro firmy, efektivní využití mobilních zařízení, bezpečnostní rizika a řešení pro jejich omezení, správa mobilních zařízení ve firmách a další.
Přidat komentář

15.5.2017 23:50 /František Kučera
Máš rád svobodný software a hardware nebo se o nich chceš něco dozvědět? Zajímá tě DIY, CNC, SDR nebo morseovka? Přijď na sraz spolku OpenAlt, který se bude konat ve čtvrtek 18. května od 18:00 v Radegastovně Perón (Stroupežnického 20, Praha 5).
Přidat komentář

12.5.2017 16:42 /Honza Javorek
PyCon CZ, česká konference o programovacím jazyce Python, se po dvou úspěšných ročnících v Brně bude letos konat v Praze, a to 8. až 10. června. Na konferenci letos zavítá např. i Armin Ronacher, známý především jako autor frameworku Flask, šablon Jinja2/Twig, a dalších projektů. Těšit se můžete na přednášky o datové analytice, tvorbě webu, testování, tvorbě API, učení a mentorování programování, přednášky o rozvoji komunity, o použití Pythonu ve vědě nebo k ovládání nejrůznějších zařízení (MicroPython). Na vlastní prsty si můžete na workshopech vyzkoušet postavit Pythonem ovládaného robota, naučit se učit šestileté děti programovat, efektivně testovat nebo si v Pythonu pohrát s kartografickým materiálem. Kupujte lístky, dokud jsou.
Přidat komentář

2.5.2017 9:20 /Eva Rázgová
Putovní konference československé Drupal komunity "DrupalCamp Československo" se tentokrát koná 27. 5.2017 na VUT FIT v Brně. Můžete načerpat a vyměnit si zkušenosti z oblasti Drupalu 7 a 8, UX, SEO, managementu týmového vývoje, využití Dockeru pro Drupal a dalších. Vítáni jsou nováčci i experti. Akci pořádají Slovenská Drupal Asociácia a česká Asociace pro Drupal. Registrace na webu .
Přidat komentář

1.5.2017 20:31 /Pavel `Goldenfish' Kysilka
PR: 25.5.2017 proběhne v Praze konference na téma Firemní informační systémy. Hlavními tématy jsou: Informační systémy s vlastní inteligencí, efektivní práce s dokumenty, mobilní přístup k datům nebo využívání cloudu.
Přidat komentář

   Více ...   Přidat zprávičku

> Poslední diskuze

5.12.2017 11:50 / Thomas
kitchen renovations

18.9.2017 14:37 / Rojas
high security vault

15.9.2017 7:33 / Wilson
new zealand childcare jobs

31.8.2017 12:11 / Jaromir Obr
Re: ukůládání dat ze souboru

30.7.2017 11:12 / Jaromir Obr
Národní znaky

Více ...

ISSN 1801-3805 | Provozovatel: Pavel Kysilka, IČ: 72868490 (2003-2017) | mail at linuxsoft dot cz | Design: www.megadesign.cz | Textová verze