广告
返回顶部
首页 > 资讯 > 后端开发 > PHP编程 >PHP如何实现HTTP验证
  • 878
分享到

PHP如何实现HTTP验证

PHPHTTP验证PHPhttp 2022-11-12 02:11:53 878人浏览 泡泡鱼
摘要

目录Http BasicHTTP Digest总结在日常开发中,我们进行用户登录的时候,大部分情况下都会使用 session 来保存用户登录信息,并以此为依据判断用户是否已登录。但其

在日常开发中,我们进行用户登录的时候,大部分情况下都会使用 session 来保存用户登录信息,并以此为依据判断用户是否已登录。但其实 HTTP 也提供了这种登录验证机制,我们今天就来学习关于 HTTP 验证相关的知识。

HTTP Basic


if (!isset($_SERVER['PHP_AUTH_USER'])) {
    header('WWW-Authenticate: Basic realm="My Realm"');
    header('HTTP/1.0 401 Unauthorized');
    echo 'Text to send if user hits Cancel button';
    exit;
} else {
    echo "<p>Hello {$_SERVER['php_AUTH_USER']}.</p>";
    echo "<p>You entered {$_SERVER['PHP_AUTH_PW']} as your passWord.</p>";
}
// Authorization: Basic YWFhOmFhYQ==
echo base64_decode('YWFhOmFhYQ==');
// aaa:aaa 等于明文

还是直接就从代码入手,上面的代码就是最简单的一种 HTTP 认证方式,如果 $_SERVER['PHP_AUTH_USER'] 不存在,那么我们就向浏览器发送一个 401 响应头,就是告诉浏览器我们需要登录验证。当浏览器收到这个响应头时,就会弹出一个浏览器自带的验证框并要求输入用户名和密码。

当我们填写了用户名和密码后,浏览器会在请求头中带上 Authorization 字段,并且将 base64 之后的用户名和密码发送过来。同时,PHP将会分别把用户名和密码解析到_SERVER['PHP_AUTH_USER']和_SERVER['PHP_AUTH_PW'] 中。

上述这种认证方式就是最简单的 HTTP Basic 认证,可以看出,这种方式进行验证的用户名和密码其实是相当于明文传输的,因为 base64 很容易就可以反向解析出来。所以这种方式是非常不安全的。那么有没有更复杂一些的方式呢?

HTTP Digest

既然这么写了,那肯定是有更好的方式啦,那就是 HTTP Digest 方式的 HTTP 认证。


$realm = 'Restricted area';

//user => password
$users = array('admin' => 'mypass', 'guest' => 'guest');

// 指定 Digest 验证方式
if (empty($_SERVER['PHP_AUTH_DIGEST']) || !$_COOKIE['login']) {
    setcookie('login', 1);  // 退出登录条件判断
    header('HTTP/1.1 401 Unauthorized');
    header('WWW-Authenticate: Digest realm="' . $realm .
        '",qop="auth",nonce="' . uniqid() . '",opaque="' . md5($realm) . '"');
    
    // 如果用户不输入密码点了取消
    die('您点了取消,无法登录');
    
}

// 验证用户登录信息
if (!($data = http_digest_parse($_SERVER['PHP_AUTH_DIGEST'])) ||
    !isset($users[$data['username']])) {
    die('Wrong Credentials!');
}

// 验证登录信息
$A1 = md5($data['username'] . ':' . $realm . ':' . $users[$data['username']]);
$A2 = md5($_SERVER['REQUEST_METHOD'] . ':' . $data['uri']);
$valid_response = md5($A1 . ':' . $data['nonce'] . ':' . $data['nc'] . ':' . $data['cnonce'] . ':' . $data['qop'] . ':' . $A2);
// $data['response'] 是浏览器客户端的加密内容
if ($data['response'] != $valid_response) {
    die('Wrong Credentials!');
}

// 用户名密码验证成功
echo '您的登录用户为: ' . $data['username'];
setcookie("login", 2);

// Authorization: Digest username="guest", realm="Restricted area", nonce="5e815bcbb4eba", uri="/", response="9286ea8d0fac79d3a95fff3e442d6d79", opaque="cdce8a5c95a1427d74df7acbf41c9ce0", qop=auth, nc=00000002, cnonce="a42e137359673851"
// 服务器回复报文中的nonce值,加上username,password, http method, http uri利用MD5(或者服务器指定的其他算法)计算出request-digest,作为repsonse头域的值


// 获取登录信息
function http_digest_parse($txt)
{
    // echo $txt;
    // protect against missing data
    $needed_parts = array('nonce' => 1, 'nc' => 1, 'cnonce' => 1, 'qop' => 1, 'username' => 1, 'uri' => 1, 'response' => 1);
    $data = array();
    $keys = implode('|', array_keys($needed_parts));

    preg_match_all('@(' . $keys . ')=(?:([\'"])([^\2]+?)\2|([^\s,]+))@', $txt, $matches, PREG_SET_ORDER);

    foreach ($matches as $m) {
        $data[$m[1]] = $m[3] ? $m[3] : $m[4];
        unset($needed_parts[$m[1]]);
    }

    return $needed_parts ? false : $data;
}

if($_GET['loGout']){

    setcookie("login", 0);
    header("Location: /");
}

从代码量就可以看出这种方式复杂了很多。首先是我们一样需要在未登录的情况下返回 401 响应头,告诉浏览器我们要进行 Digest 认证。这里 header 信息就有不一样的地方了,格式是 Digest ,内容也比 Basic 多了许多,这些多出来的内容都是我们在验证认证内容的时候需要用到的。

接着,浏览器一样是会弹出输入用户名和密码的弹窗。然后将加密后的用户名和密码信息提交上来。我们可以看到返回值里有明文的 username ,但是没有明文的密码了。其实密码是通过 username 、 密码 、 nonce 、 nc 、 cnoce 、cop 、$_SERVER['REQUEST_METHOD'] 、 uri 等这些内容进行 md5 加密后生成的,放在了 response 字段中提交了上来。我们也需要按照同样的规则获得加密后的密码进行比对就可以判定用户名和密码正确从而让用户完成正常的登录流程。

在这段代码中,我们加入了一个 cookie ,是为了做退出登录的判断使用的。因为 HTTP 认证这种形式的过期时间是以浏览器为基准的。也就是如果客户端关闭了浏览器,则客户端浏览器内存中保存的用户名和密码才会消失。这种情况下我们只能通过 cookie 来进行退出登录的操作,如果用户退出登录了就改变这个 cookie 的内容并重新发送 401 响应头给浏览要求重新登录。

总结

HTTP 验证的这种操作一般不会做为我们日常开发中的正常登录功能,大部分情况下,我们会给后台或者一些特殊的管理工具加上一层这种 HTTP 认证来实现双重的认证,也就是为了保障后台的数据安全。比如,我会在我的 phpMyAdmin 上增加一层这个认证。另外,HTTP 认证也可以直接在 Nginx 或 Apache 中直接配置,不需要走到 PHP 这一层来,这个我们将来学习 Nginx 的时候会再做说明。

测试代码: GitHub.com/zhangyue050…

以上就是PHP如何实现HTTP验证的详细内容,更多关于PHP HTTP验证的资料请关注编程网其它相关文章!

--结束END--

本文标题: PHP如何实现HTTP验证

本文链接: https://www.lsjlt.com/news/124667.html(转载时请注明来源链接)

有问题或投稿请发送至: 邮箱/279061341@qq.com    QQ/279061341

本篇文章演示代码以及资料文档资料下载

下载Word文档到电脑,方便收藏和打印~

下载Word文档
猜你喜欢
  • PHP如何实现HTTP验证
    目录HTTP BasicHTTP Digest总结在日常开发中,我们进行用户登录的时候,大部分情况下都会使用 session 来保存用户登录信息,并以此为依据判断用户是否已登录。但其...
    99+
    2022-11-12
    PHP HTTP验证 PHP http
  • 如何实现Golang的Http验证码
    本文将为大家详细介绍“如何实现Golang的Http验证码”,内容步骤清晰详细,细节处理妥当,而小编每天都会更新不同的知识点,希望这篇“如何实现Golang的Http验证码”能够给你意想不到的收获,请大家跟着小编的思路慢慢深入,具体内容如下...
    99+
    2023-06-06
  • php如何实现短信验证
    这篇文章主要介绍了php如何实现短信验证的相关知识,内容详细易懂,操作简单快捷,具有一定借鉴价值,相信大家阅读完这篇php如何实现短信验证文章都会有所收获,下面我们一起来看看吧。php实现短信验证的方法:1、注册账号并下载接口;2、配置参数...
    99+
    2023-07-04
  • php如何实现验证码登录
    本文操作环境:windows10系统、php 7、thinkpad t480电脑。验证码在我们的日常生活中非常常见,使用验证码有诸多好处,如:防止恶意的破解密码。如一些黑客为了获取到用户信息,通过不同的手段向服务器发送数据,验证猜测用户信息...
    99+
    2017-10-10
    php 验证码
  • php如何实现获取验证码
    本文操作环境:windows10系统、php 7、thinkpad t480电脑。在日常生活中我们会经常使用到验证码功能,那么如果我们要自己实现一个验证码功能该如何去做呢?下面我们给出具体的实现代码,供大家参考!如果你是一名初学者,那么我强...
    99+
    2021-08-11
    php 验证码
  • php如何实现银行卡验证
    这篇文章给大家分享的是有关php如何实现银行卡验证的内容。小编觉得挺实用的,因此分享给大家做个参考,一起跟随小编过来看看吧。1.实现代码如下     &nb...
    99+
    2022-10-19
    php
  • 如何在PHP中实现验证码
    随着互联网的不断发展,越来越多的网站需要使用验证码来保证安全性。验证码是一种借助人类能力而无法被计算机破解的认证技术,广泛应用于网站注册、登录、找回密码等功能中。下面将介绍如何使用PHP实现验证码功能。一、生成验证码图片验证码图片的生成是验...
    99+
    2023-05-20
    验证码 PHP 实现
  • php如何实现验证码刷新
    这篇“php如何实现验证码刷新”文章的知识点大部分人都不太理解,所以小编给大家总结了以下内容,内容详细,步骤清晰,具有一定的借鉴价值,希望大家阅读完这篇文章能有所收获,下面我们一起来看看这篇“php如何实现验证码刷新”文章吧。一、什么是验证...
    99+
    2023-07-06
  • PHP-RSA2签名验证如何实现
    本篇内容介绍了“PHP-RSA2签名验证如何实现”的有关知识,在实际案例的操作过程中,不少人都会遇到这样的困境,接下来就让小编带领大家学习一下如何处理这些情况吧!希望大家仔细阅读,能够学有所成!PHP RSA2 签名算法什么是RSA2?RS...
    99+
    2023-06-22
  • php如何实现用户输入验证
    这篇文章主要介绍php如何实现用户输入验证,文中介绍的非常详细,具有一定的参考价值,感兴趣的小伙伴们一定要看完!对于用户输入一串字符串$string,要求$string中只能包含大于0的数字和英文逗号,请用...
    99+
    2022-10-19
    php
  • PHP如何实现滑块验证图片
    这篇文章主要讲解了“PHP如何实现滑块验证图片”,文中的讲解内容简单清晰,易于学习与理解,下面请大家跟着小编的思路慢慢深入,一起来研究和学习“PHP如何实现滑块验证图片”吧!安装composer require kkok...
    99+
    2023-07-04
  • PHP如何实现旋转图片验证
    这篇文章主要介绍了PHP如何实现旋转图片验证的相关知识,内容详细易懂,操作简单快捷,具有一定借鉴价值,相信大家阅读完这篇PHP如何实现旋转图片验证文章都会有所收获,下面我们一起来看看吧。安装composer require&nbs...
    99+
    2023-07-04
  • php如何实现app的验证登录
    这篇文章主要介绍了php如何实现app的验证登录的相关知识,内容详细易懂,操作简单快捷,具有一定借鉴价值,相信大家阅读完这篇php如何实现app的验证登录文章都会有所收获,下面我们一起来看看吧。一、前置知识熟悉PHP语言基础熟悉HTTP请求...
    99+
    2023-07-05
  • 如何使用php+js实现极验,拖动滑块验证码验证表单
    这篇文章给大家分享的是有关如何使用php+js实现极验,拖动滑块验证码验证表单的内容。小编觉得挺实用的,因此分享给大家做个参考,一起跟随小编过来看看吧。   代码实现   html文件   <!...
    99+
    2022-10-19
    php js
  • 如何实现VBScript验证
    本篇内容介绍了“如何实现VBScript验证”的有关知识,在实际案例的操作过程中,不少人都会遇到这样的困境,接下来就让小编带领大家学习一下如何处理这些情况吧!希望大家仔细阅读,能够学有所成!简单验证使用 Visual Basic Scrip...
    99+
    2023-06-09
  • Ajax+Struts2如何实现验证码验证功能
    这篇文章主要为大家展示了“Ajax+Struts2如何实现验证码验证功能”,内容简而易懂,条理清晰,希望能够帮助大家解决疑惑,下面让小编带领大家一起研究并学习一下“Ajax+Struts2如何实现验证码验证...
    99+
    2022-10-19
    ajax struts2
  • php如何实现自动生成验证码
    本文操作环境:windows10系统、php 7、thinkpad t480电脑。现在验证码在表单中的应用越来越多了,但是如果用js来实现总觉得不太方便,因此使用php来实现下,在此记录下。当然,我们也可以封装成一个函数,以后使用的时候也是...
    99+
    2019-06-04
    php 验证码
  • 如何用php+AJax+json实现登录验证
    本文小编为大家详细介绍“如何用php+AJax+json实现登录验证”,内容详细,步骤清晰,细节处理妥当,希望这篇“如何用php+AJax+json实现登录验证”文章能帮助大家解决疑惑,下面跟着小编的思路慢慢深入,一起来学习新知识吧。随着W...
    99+
    2023-07-05
  • php token验证怎么实现
    本文操作环境:Windows7系统、PHP7.1版,DELL G3电脑。php token验证怎么实现?php token使用与验证示例【测试可用】本文实例讲述了php token使用与验证。分享给大家供大家参考,具体如下:一、token功...
    99+
    2020-12-25
    php token
  • Spring Security如何实现HTTP认证
    今天小编给大家分享一下Spring Security如何实现HTTP认证的相关知识点,内容详细,逻辑清晰,相信大部分人都还太了解这方面的知识,所以分享这篇文章给大家参考一下,希望大家阅读完这篇文章后有所收获,下面我们一起来了解一下...
    99+
    2023-06-30
软考高级职称资格查询
编程网,编程工程师的家园,是目前国内优秀的开源技术社区之一,形成了由开源软件库、代码分享、资讯、协作翻译、讨论区和博客等几大频道内容,为IT开发者提供了一个发现、使用、并交流开源技术的平台。
  • 官方手机版

  • 微信公众号

  • 商务合作