LINUXSOFT.cz Přeskoč levou lištu
Uživatel: Heslo:  
   CZUKPL

> PHP (50) - Ověřování uživatelů

Jak pomocí PHP zajistit, aby se uživatel musel před shlédnutím stránky přihlásit?

29.9.2004 15:00 | Petr Zajíc | Články autora | přečteno 55446×

Komerční sdělení: Pořádáme Kurzy PHP

Weby psané pomocí PHP se málokdy skládají z jedné stránky. Většinou jde o sadu stránek, které jsou vzájemně nějak provázané a které zajišťují různé úkoly. S tím souvisí otázka zabezpečení - asi nebudete chtít pouštět uživatele na administrační stránku. Dnes si tedy ukážeme, jak pomocí PHP přihlásit uživatele.

Ono to má související problém, a tím je sdílení dat mezi více stránkami. Tomu se budeme postupně věnovat v následujících dílech seriálu. Ale pochopitelně to, zda je uživatel přihlášen je rovněž často potřeba vědět na více stránkách.

Ověřování pomocí WWW-Authenticate

Mějme například následující stránku PHP:

<?
$server
="mysql.linuxsoft.cz";
$user="Petr Zajíc";
$password="heslo";
echo
"Při přihlášení se musí použít server <B>$server</B>,
uživatel <B>$user</B> a heslo <B>$password</B>."
;
?>

Asi chápete, že sem byste běžného uživatele pustit nechtěli. Pomocí PHP však můžete povolit vstup pouze autentifikovaným uživatelům. Princip je velmi jednoduchý. Musíte donutit server, aby si myslel, že ke stránce nemá přístup kdekdo, a požádal Vás o autentifikaci. To lze provést pomocí jedné z hlaviček protokolu http:

Header("WWW-Authenticate: Basic realm=\"oblast_hesel\"");
Header("HTTP/1.0 401 Unauthorized");

Jakmile tato hlavička dorazí na server, neodešle klientovi (tedy prohlížeči) tělo stránky, ale požadavek na autentifikaci. Takže se Vám v prohlížeči objeví klasické okno pro zadání jména a hesla. To je pak odesláno zpět na server a (což je pro nás důležité) uloženo pro další práci jako součást informací v asociativním poli $_SERVER. Konkrétně je to takto:

Informace
Získaná pomocí
Je v proměnné
Uživatelské jméno
kolonky "jméno uživatele" přihlašovacícho dialogu
$_SERVER['PHP_AUTH_USER']
Heslo
kolonky "heslo" přihlašovacícho dialogu $_SERVER['PHP_AUTH_PW']
Typ autentifikace
hodnoty hlavičky WWW-Authenticate (PHP umí jen typ Basic)
$_SERVER['AUTH_TYPE']

Aby nedošlo k mýlce - ověření jména a hesla musíme provést sami. Uvedený postup jméno a heslo pouze od uživatele získal, informace však nijak neporovnával s žádným seznamem povolených uživatelů a/nebo hesel. Můžete například ověřit jméno a heslo proti databázi nebo je porovnat s údaji v samotném skriptu.

Pozn.: Uvedené věci platí ovšem jen tehdy, pokud PHP běží jako modul Apache. Jestliže běží jako interpreter CGI, nebude to fungovat.

Praxe

V praxi musíte pamatovat ještě na pár technických detailů. Příjemné je například to, že po úspěšném ověření jsou přihlašovací informace pro daný realm k dispozici i dalším skriptům, a to až do odhlášení nebo uzavření prohlížeče. Z toho vyplývají dvě věci:

  • můžete napsat přihlašovací skript a včlenit jej do více stránek
  • přihlašovací skript by měl nejprve zjistit, zda již autentifikace neproběhla. Pokud neproběhla měl by ji provést; pokud však již proběhla, měl by autentifikační údaje ověřit

Mějme tedy jako příklad dvě "super tajné" stránky. Všimněte si, že z každé vede odkaz na tu druhou:

Ukázat skript 1 | Spustit skript 1

Ukázat skript 2 | Spustit skript 2

Jestliže budeme chtít, aby na obě stránky měl přístup pouze uživatel Honza s heslem jezevec, půjdeme na to následovně: Nejprve si vytvoříme soubor auth.php, který bude obsluhovat ověřování:

<?
if (!IsSet($_SERVER["PHP_AUTH_USER"]))
  {
  
Header("WWW-Authenticate: Basic realm=\"Hesla\"");
  
Header("HTTP/1.0 401 Unauthorized");
  echo
"Přístup pouze na uživatelské jméno a heslo.";
  exit;
  }
  else
    {
      if (
$_SERVER["PHP_AUTH_USER"]!="Honza") { echo "Neplatné přihlašovací jméno!"; exit;}
      if (
$_SERVER["PHP_AUTH_PW"]!="jezevec") { echo "Neplatné heslo!"; exit;}
    }
?>

A následně pomocí direktivy require tento soubor vložíme na začátek našich dvou skriptů. Výsledek bude tento:

Ukázat skript 1 | Spustit skript 1

Ukázat skript 2 | Spustit skript 2

Všimněte si, že ověřování můžete zkazit jenom jednou, protože pak si již server zadané údaje pamatuje. To je trošičku nevýhoda uvedeného postupu, ale je víceméně jediná. Rovněž si všimněte, že po ověření z libovolného z obou skriptů je automaticky k dispozici i ten druhý.

V dalším díle našeho seriálu se podíváme na lehce příbuzné téma - a tím bude sdílení informací mezi stránkami.

Verze pro tisk

pridej.cz

 

DISKUZE

autentifikace kdyz php jede jako CGI 30.9.2004 12:49 CandySan
síť 30.9.2004 16:52 TomJir
L Re: síť 30.9.2004 19:58 Jan Houštěk
pamätať si údaje 16.10.2009 08:03 Tomas Teicher
L Re: pamätať si údaje 16.10.2009 13:43 Aleš Hakl
Více uživatelů 31.3.2010 23:46 Petr Volf




Příspívat do diskuze mohou pouze registrovaní uživatelé.
> Vyhledávání software
> Vyhledávání článků

24.8.2016 6:44 /Ondřej Čečák
Poslední týden CFP LinuxDays 2016; pokud byste rádi přednášeli na LinuxDays 2016 8. a 9. října v Praze, můžete svůj příspěvek přihlásit, následovat bude veřejné hlasování.
Přidat komentář

9.8.2016 22:56 /Petr Ježek
Zařazení souborového systému reiser4 do jádra 4.7 znamená konečně konec patchování jádra jen kvůli možnosti použít reiser4.
Přidat komentář

12.7.2016 13:14 /František Kučera
Spolek OpenAlt zve na 130. distribuovaný sraz příznivců svobodného softwaru a otevřených technologií (hardware, 3D tisk, SDR, DIY, makers…), který se bude konat ve čtvrtek 21. července od 18:00 v Radegastovně Perón (Stroupežnického 20, Praha 5).
Přidat komentář

11.7.2016 16:53 /Redakce Linuxsoft.cz
Konference LinuxDays hledá přednášející. Přihlášky poběží do konce prázdnin, v září bude hlasování a program. Více na https://www.linuxdays.cz/2016/cfp/.
Přidat komentář

8.5.2016 17:19 /Redakce Linuxsoft.cz
PR: Dne 26.5.2016 proběhne v Praze konference Cloud computing v praxi. Tématy bude např. nejnovější trendy v oblasti cloudu a cloudových řešení, cloudové služby, infrastruktura cloudu, efektivní využití cloudu, možné nástrahy cloudů a jak se jim vyhnout
Přidat komentář

21.4.2016 8:01 /František Kučera
Spolek OpenAlt zve na 127. distribuovaný sraz příznivců svobodného softwaru a otevřených technologií (hardware, 3D tisk, SDR, DIY, makers…), který se bude konat ve čtvrtek 28. dubna od 18:00 v Radegastovně Perón (Stroupežnického 20, Praha 5).
Přidat komentář

2.3.2016 22:41 /Ondřej Čečák
Letošní ročník konference InstallFest již tento víkend!
Přidat komentář

14.2.2016 16:39 /Redakce Linuxsoft.cz
O víkendu 5. a 6. března 2016 proběhne na pražském Strahově 8. ročník tradiční konference InstallFest. Celkem za dva dny uvidíte ​30 přednášek​ a ​6 workshopů.
Přidat komentář

   Více ...   Přidat zprávičku

> Poslední diskuze

12.8.2016 11:51 / Josef Zapletal
Jak udělat HTML/Javascript swiping gallery do mobilu?

8.8.2016 14:58 / Adams
fairies for hire

28.7.2016 15:51 / pepan
Re: NetBeans vs Eclipse

10.6.2016 21:10 / pavel riha
FreeBSD 10.3 a virtualizace

8.6.2016 21:56 / Milan Gallas
Nevalidní prefix m

Více ...

ISSN 1801-3805 | Provozovatel: Pavel Kysilka, IČ: 72868490 (2003-2016) | mail at linuxsoft dot cz | Design: www.megadesign.cz | Textová verze