繁體中文

PHP 教學

PHP 運算子

PHP 控制語句

PHP 數組

PHP函數

PHP 超全域變數

PHP 檔案處理

面向對象PHP

PHP 網頁開發

PHP AJAX

PHP XML

PHP 登入範例

PHP 高階

PHP - HTTP 認證

歡迎,未來的 PHP 開發者!今天,我們將深入探索 HTTP 認證的精彩世界。別擔心如果你是編程新手;我會一步步引導你了解這個主題,就像我這些年來對無數學生所做的一樣。讓我們一起踏上這段旅程吧!

PHP - HTTP Authentication

HTTP 認證是什麼?

HTTP 認證就像在一家專屬俱樂部的入口處有一個保鏢。它是一種控制對你的網頁訪問的方法,確保只有授權用戶才能查看某些內容。想像你正在創建一個包含絕密信息的網站——你肯定不希望任何人都能看到它,對吧?

為什麼使用 HTTP 認證?

在我們深入研究代碼之前,讓我們了解一下為什麼 HTTP 認證很重要:

  1. 安全性:它讓敏感信息免受好奇者的窺探。
  2. 用戶管理:它幫助你控制誰能訪問什麼。
  3. 簡單性:它是一種實現基本安全性的直接方式。

現在,讓我們捋起袖子開始編程吧!

基本 HTTP 認證

設置基本認證

我們從最簡單的 HTTP 認證形式開始——基本認證。以下是一個基本示例:

<?php
if (!isset($_SERVER['PHP_AUTH_USER'])) {
header('WWW-Authenticate: Basic realm="My Realm"');
header('HTTP/1.0 401 Unauthorized');
echo '如果用戶點擊取消按鈕,將發送的文本';
exit;
} else {
echo "<p>Hello {$_SERVER['PHP_AUTH_USER']}.</p>";
echo "<p>You entered {$_SERVER['PHP_AUTH_PW']} as your password.</p>";
}
?>

讓我們分解一下:

  1. 我們檢查 $_SERVER['PHP_AUTH_USER'] 是否設置。這個變量包含用戶提供的用戶名。
  2. 如果它沒有設置,我們發送頭部以提示認證。
  3. 如果它設置了,我們向用戶問候並顯示他們的密碼(在真實生活中不要這樣做,這只是為了演示!)

自定義認證提示

你可以通過更改領域名来自定義認證提示:

header('WWW-Authenticate: Basic realm="Super Secret Area"');

這將在登錄提示中顯示“Super Secret Area”,使其對用戶更友好、更具有信息性。

高級 HTTP 認證

驗證憑據

在現實世界場景中,你將需要對憑據進行驗證,以對應數據庫或文件。以下是一個示例:

<?php
$valid_passwords = array ("mario" => "carbonara", "luigi" => "arrabbiata");
$valid_users = array_keys($valid_passwords);

$user = $_SERVER['PHP_AUTH_USER'];
$pass = $_SERVER['PHP_AUTH_PW'];

$validated = (in_array($user, $valid_users)) && ($pass == $valid_passwords[$user]);

if (!$validated) {
header('WWW-Authenticate: Basic realm="My Realm"');
header('HTTP/1.0 401 Unauthorized');
die ("未授權");
}

// 如果到達這裡,是有效的用戶。
echo "<p>Welcome $user.</p>";
echo "<p>Congratulations, you are into the system.</p>";
?>

在這個示例中:

  1. 我們定義了一個有效的用戶名和密碼數組。
  2. 我們檢查提供的用戶名和密碼是否與我們的記錄匹配。
  3. 如果它們不匹配,我們拒絕訪問。如果它們匹配,我們歡迎用戶。

使用會話與 HTTP 認證

為了提高安全性和用戶體驗,你可以將 HTTP 認證與 PHP會話結合使用:

<?php
session_start();

if (!isset($_SESSION['authenticated'])) {
if (!isset($_SERVER['PHP_AUTH_USER'])) {
header('WWW-Authenticate: Basic realm="My Realm"');
header('HTTP/1.0 401 Unauthorized');
echo '如果用戶點擊取消按鈕,將發送的文本';
exit;
} else {
if ($_SERVER['PHP_AUTH_USER'] == 'admin' && $_SERVER['PHP_AUTH_PW'] == 'password') {
$_SESSION['authenticated'] = true;
} else {
header('WWW-Authenticate: Basic realm="My Realm"');
header('HTTP/1.0 401 Unauthorized');
echo '錯誤的憑據!';
exit;
}
}
}

echo "<p>Welcome to the protected area!</p>";
?>

這段腳本:

  1. 開始一個會話。
  2. 檢查用戶是否已經認證。
  3. 如果沒有,它會進行認證過程。
  4. 一旦認證,它會設置一個會話變量來記住用戶。

最佳實踐和安全考慮

哈希密碼

絕對不要以明文形式存儲密碼!始終使用安全的哈希算法。以下是一個使用 PHP 內置的密碼哈希函數的示例:

<?php
$password = 'user_password';
$hashed_password = password_hash($password, PASSWORD_DEFAULT);

// 之後,為了驗證:
if (password_verify('user_input', $hashed_password)) {
echo '密碼有效!';
} else {
echo '無效的密碼。';
}
?>

使用 HTTPS

在實現認證時始終使用 HTTPS。HTTP 認證以 base64 編碼形式發送憑據,如果被截獲,很容易解碼。HTTPS 加密整個通信,增加了一層安全性。

結論

PHP 中的 HTTP 認證是保護你的 Web 應用程序的有力工具。從基本認證到更先進的技術,你现在有了在项目中實現安全訪問控制的知识。

記住,安全性是一個持續的過程。始終關注最新的最佳實踐和安全措施。開心編程,願你的應用程序永遠安全!

方法 描述 示例
基本認證 最簡單的 HTTP 認證形式 header('WWW-Authenticate: Basic realm="My Realm"');
基於會話的認證 將 HTTP 認證與 PHP會話結合以提高用戶體驗 session_start(); $_SESSION['authenticated'] = true;
密碼哈希 使用 PHP 的內置函數安全存儲密碼 password_hash($password, PASSWORD_DEFAULT);
自定義驗證 對憑據進行驗證,以對應自定義數據集 if (in_array($user, $valid_users) && $pass == $valid_passwords[$user])
使用 HTTPS 使用 HTTPS 加密所有通信 配置伺服器使用 SSL/TLS

Credits: Image by storyset

上一教程:
PHP - 系統呼叫
下一教程:
PHP - 變數交換