Вступление
Это - обучающая программа которая должна вам показать основы защищиты ваших страниц в сети, использующие HTTP аутентификацию. Вместо традиционного.htaccess метода (Apache сервер), мы собираемся использовать для хранения данных о пользователях и их пароли в MySQL. Я постараюсь максимально разжевать все на, что по моему разумению требуется для начинающего изучать MySQL и PHP. В принципе на основе этой проги вы можите использовать любой DBMS (система управления базы данных). Почему интересен этот метод? Ну например хотя бы потому что, если Вы используете базу данных, вы можите с легкостью разрешить, только определенной группе (человеку) иметь определенныйе права для доступа к той или иной информации. Если Вы используете традиционный.htaccess метод Апач, Вы должны вручную добавлять пользователей и пароль в файле пароля. А приимущество данного метода, ну....взгляните сами.
Программное обеспечение которое необходио:
· *nix платформа (Linux, Unix, *BSD) · PHP 3.0.x или PHP 4.x · MySQL (любая версия)
Шаг номер один
Вперед, первое что надо это выяснить что мы хотим позволить пользователям, которые находится в нашей базе данных, чтобы получить доступ к указанной странице? И как мы собираемся это сделать? (многим не очень нравится, но надо привыкать перед программированием брать бумажку и записывать все требования, которые мы хотим получить от проги, в перспективе вы сэкономите часы а может дни, для внесения изменений в код (прим.))
Проверить, заверен ли пользователь уже.
Если нет, отправить сообшение в броузер, с сообщением и формой для доступа.
Если пользователь княпает на кнопку отмены, не позволить ему доступ и переадресовывать его идти на... 403: Доступ отвергнут, или показать (кукиш J) простое сообщение.
Если пользователь заполнил username и комбинацию пароля, проверьте их в MySQL базе данных и удостоверятся, что они верны, при положительном исходе разрешить доступ.
Если Вы не поняли все не волнуйтесь, станет ясно позже (а может никогда)!
Шаг Два - Создаем Нашу Базу данных
Мы хотим, чтобы база данных хранила имена (login) и пароль наших пользователей. Требуемые поля могут легко быть добавлены к существующей базе данных, но мы предположим пока, что Вы не добавляете к уже имеющейся базе а создаете новую. Следующий код это описание того как это сделать. Предположение если у вас на компе стоит Апач совсем что надо, можете немедленно приступить:)
mysql> create database members;
mysql> create table users (
username varchar(25) NOT NULL,
password varchar(15) NOT NULL,
primary key (username),
unique username (username)
);
Мы теперь имеем базу данных, чтобы хранить в ней пользователей, она предполагает, что username до 25 знаков, и пароли до 15 знаков. (если вам по каким-то причинам не подходит, установите как посчитаете Нужным) Username должен иметь значение "первичный ключ" и быть "уникальным", так как мы не хотим чтоб 2 или больше людей имели одинаковый username.
Пожалуйста обратите внимание, что usernames будет чувствитен к следующему случаю, пользователь "Vasya" будет идентифицирован другим, нежели пользователь "vasya", проще говоря чувствителен к регистру. Теперь мы добавим в MySQL тестового пользователя, чтобы использовать его дянные для тестов, когда мы создадим PHP страницу.
mysql> grant select on members.users
to httpuser@localhost
identified by "MyPassword";
Это для того чтоб, когда мы хотим
проверить пользователя и пароль, человека
зарегистрировавшегося в нашей базе данных, мы будем
использовать пользователя "httpuser" с паролем
"MyPassword". Наконец мы должны добавить логин и пароль
человека, которому мы хотим позволить доступу.
mysql> insert into users value("john_doe", "eod_nhoj");
Я сознательно в проге не шифровал данные, для того, чтоб в случае утери пароля не дешифровать его, и упростить до минимума получения оного:)) Все, с MySQLпокончено теперь идем дальше!
Шаг Три - пишем PHP код
Прежде, чем мы начинаем, я опишу в кратце то, что будет делать пага. Когда Вы попадете на защищенную страницу то сервер пошлет запрос и выведет страницу для введения имени и пароля. Если вы нажмете на кнопку отмены или введете не правельные данные то сервер отправит вам (401 Неправомочный удар головой, и будет отрицать доступ.) - так переводит промпт обычно строку (401 Unauthorized header, and deny access) не буду пояснять по моему лучше не скажешь!!! При случае если вы все введете как надо, то окажется что просто напросто вы получите доступ (то что и требовалось доказать) Теперь самое веселое, это и есть тот самый код. Он написан сознательно с номерами строк, после кода (внизу) даны пояснения к строкам.
01
Вот и весь фокус - покус, работает проверенно можете использовать, где хотите когда хотите и как хотите, меняйте, улучшаете, если вам удасться сократить код до двух строк при сохранении функциональных возможностей проги, то обязательно пришлите его мне!!!
В этой секции мы быстро исследуем каждую линию, чтоб предупредить зарание пылкий обмен вопросами в коментариях к данной статейке.
Строка 3:
Эта функция покажет сообщение, если "злой юзер" упорно будет вводить левые данные. Я сделал
это функцией, потому что используем ее дважды, и просто
чтоб сократить исходный код.
Строка 7:
Так
как мы используем этот заголовок тоже дважды я также
сделал это функцией.
Строка 8:
Передать
броузеру заголовок, который заставит таки юзера ввести
логин и пароль. Переменная $title будет показана в login
диалоге.
Строка 9:
При первом запросе
выводится заголовок при повторной отмене выводит
сообщение о запрете доступа.
Строка 12:
$PHP_AUTH_USER цикл который выводит сообщение о том
что мол пага защищена, и убирайся вон!
Строка
19-23:
Это то что кроме вас никто не знает, то есть
средства для коннекта с базой данных, имя хоста, имы
базы, имя юзера, и пароль. (для соеденения с
MySQL)
Строка 24:
Запрос к MySQL который
возвращает имена и пароли.
Строка 25:
Установить связь с MySQL и вывести ругательство если
связи не будет!!! (это значит что у вас что-то не то в
строках 19-23, или вообще нет MySQL)
Строка 27:
Обработать $query. Если возвращет - 0, это означает,
что была введена недействительная
комбинация.
Строка 33:
Разъединить соеденение
с MySQL.
Я рекомендовал бы сохранить PHP код в файле под наванием user_auth.php, user_auth.php3, или... (тут ваша фантазия на эту тему) Предположим, что таки сохранили этот код в файле user_auth.php. Всякий раз, когда мы захотим вдруг защитить нашу сверхсекретную пагу в сети, мы просто подключаем этот файл. Единственное на что хочется обратить внимание, что по логике надо подключать в самой верхней части своей защищенной PHP страницы, советую в строке номер 1 ваше паги написать следующее:
где "user_auth.php" это имя файла под которым вы сохранили код.
Ваш вопрос - я не использую MySQL, как быть?
Посоветуйтесь с админом вашего сервера, если он окажется добрым, то он вам поможет, для него это 5 минут работы, если злой то не поможет, тогда идите на форум относящийся к той БД которую вы исьпользуете и кричите о помощи! Или если вы считаете себя нормальным программером, то...вам вообще этот код не понадобиться, и вы будите создавать "сессии", шифровать с помощью PGP вобщем извращаться так, как быдто вы делаете защиту для amazon.com
Web-мастерам , использующим в качестве движка для сайта что-либо собственноручно написанное, рано или поздно надоедает обновлять сайт, редактируя файлы по FTP или работая напрямую с базой данных. И тогда начинается написание скриптов администрирования, которые бы позволили управлять сайтом в интерактивном режиме с приятным внешним видом и наконец-то сделали процесс обновления более приятным.
Первый вопрос, который обычно возникает в таком случае — это вопрос авторизации. Не будешь же давать возможность каждому, нашедшему на сайте административный раздел, творить все, что ему взбредет в голову. Сегодня мы с вами рассмотрим процесс написания простейшей авторизации.
Для начала несколько уточняющих моментов. Первое — пишем на PHP , так как это наиболее распространенный на сегодняшний день язык написания систем управления сайтами. И второе — я лично против самописных скриптов, отвечающих за сам ввод логина пароля. Поэтому не будем изобретать велосипед, т.е. собственный принцип авторизации, а воспользуемся стандартными возможностями.
Итак, будем пользоваться обычной аутентификацией — окном для ввода пароля, какое используется, например, на Rambler и множестве других сайтов.
Возможность входа в защищенную зону сохраняется в течение всего сеанса работы окна браузера, но после того, как вы его закроете, войти снова можно будет лишь набрав имя пользователя и пароль. То есть, воспользовавшись вашим компьютером, незаконных действий от вашего имени совершить невозможно. Чем еще хорош этот метод? Он не принимает никаких переменных со сторонних серверов и после трехкратного неверного ввода пароля вам придется обновлять страницу, что затрудняет взлом системы подбором.
А выглядит это вот так :
Введенный пользователем логин хранится в переменной $PHP_AUTH_USER , пароль — в $PHP_AUTH_PW . Кстати, обратите внимание на проверку существования записи пользователя с таким именем в БД — это критический момент, который учитывать весьма важно. В случае, если такой проверки не будет, это приведет к плачевным результатам — $row будет равно нулю, то есть введя несуществующее имя пользователя и пустой пароль можно будет попасть в защищенную зону.
Между инструкциями Header(«HTTP/1.0 401 Unauthorized») ; и exit() ; вставляем что угодно — от простой фразы о том, что сюда нельзя до предложения куда-нибудь сходить, слетать, сбегать, сползать и так далее. Да, чуть не забыл — в переменных $dbhost, $dbuser, $dbpasswd и $dbname хранятся данные, обеспечивающие доступ к базе и имя базы.
Подобный код необходимо вставить на каждую страницу защищенной зоны, например, через include .
Вот вы и защищены. От себя могу еще добавить, что паролирование таким способом лично мне кажется весьма удобным и надежным.
Эта статья устарела.
Эта статья написана для услуги Виртуальный хостинг, которая считается устаревшей с 1 июня 2019 года.
Актуальную услугу хостинга можно заказать на нашем сайте
HTTP-авторизация средствами PHPВ данной статье рассмотрено создание HTTP-авторизации с помощью PHP, что позволит закрыть какой-либо раздел сайта, например административную часть.
Для установления подлинности HTTP обеспечивает простой механизм "вызов-ответ" (challenge-response), который может использоваться сервером для вызова (challenge) клиентского запроса, а клиентом для предоставления опознавательной информации (authentication information). Наиболее распространенной схемой авторизации является "Базовая схема установления подлинности" (Basic Authentication Scheme).
"Базовая" схема установления подлинности основана на том, что агент пользователя (браузер) должен подтвердить свою подлинность при помощи идентификатора пользователя (имени пользователя) и пароля для каждой защищенной области (realm). Сервер обслужит запрос, в случае если он может проверить правильность идентификатора пользователя и его пароля для данной защищенной области. Никаких дополнительных опознавательных параметров в данной схеме не предусмотрено.
После получения запроса на идентификацию, сервер отвечает вызовом (challenge), подобным следующему:
WWW-Authenticate: Basic realm="Restricted Area" HTTP/1.1 401 Unauthorized
Здесь "Restricted Area" -- строка, назначенная сервером, которая идентифицирует защищенную область запрашиваемого URI (Request-URI). Говоря простым языком -- имя защищенной области.
Далее, чтобы получить права доступа, агент пользователя (браузер) отправляет на сервер идентификатор пользователя (имя пользователя) и пароль, разделенные одним символом двоеточия (":"), внутри base64-кодированной строки рекомендаций (credentials):
Basic-credentials = "Basic" basic-cookie
Здесь- basic-cookie -- base64-кодированая строка, содержащая user-pass
- user-pass -- строка вида "userid:password"
- userid -- текст, не содержащий символов ":"
- password -- текст
Обратите внимание, что и имя пользователя и пароль являются чувствительными к регистру. То есть, например, User и user -- два различных имени пользователя.
HTTP-авторизация и PHPВозможно вам уже приходилось использовать Basic-схему авторизации совместно с PHP и вам известно, что суть метода сводится к тому, чтобы получить от веб-сервера переменные PHP_AUTH_USER и PHP_AUTH_PW , определяющие соответственно имя пользователя и пароль, и каким-либо образом обработать их внутри PHP-скрипта. Но заметим, что данный способ эффективен только тогда, когда PHP функционирует в качестве модуля веб-сервера Apache. На нашем хостинге PHP работает в режиме CGI/FastCGI и описанный выше метод работать не будет, поскольку переменные PHP_AUTH_USER и PHP_AUTH_PW не будут передаваться внутрь скрипта.
Однако существует способ, который позволяет обойти это ограничение и передать значения имени пользователя и пароля, которые вводит пользователь, внутрь PHP-скрипта. Для этих целей используются средства mod_rewrite -- модуля веб-сервера Apache. Правила, которые мы будем использовать, имеют следующий вид:
RewriteCond %{HTTP:Authorization} ^Basic.* RewriteRule (.*) index.php?authorization=%{HTTP:Authorization}
При запросе через HTTP к файлу sitename.ru/www/index.php, данное правило будет передавать GET-запросом содержимое непустого поля Authorization в параметр authorization. Если мы средствами PHP посмотрим на содержимое переменной $_GET["authorization"], то увидем как раз описываемый выше basic-credentials -- строку вида:
Preg_match("/^Basic\s+(.*)$/i", $_GET["authorization"], $user_pass); list($user,$pass)=explode(":",base64_decode($user_pass));
Таким образом мы получим две переменные -- $user и $pass, содержащие соответствено имя пользователя и пароль. Теперь, как упоминалось выше, их нужно лишь каким-либо образом обработать -- например, сравнить с аналогичными переменными из базы данных или из файла с учетными записями пользователей.
ЗаключениеРассмотренный в данной статье метод будет успешно работать не только на нашем хостинге, но и везде, где PHP работает в режиме CGI/FastCGI и в качестве веб-сервера используется Apache + mod_rewrite.
Исходные тексты рабочих примеров вы можете найти в Приложении к данной статье.
Приложение. Исходные тексты скрипта Исходный текст файла.htaccess RewriteEngine on RewriteBase / RewriteCond %{HTTP:Authorization} ^Basic.* RewriteRule (.*) index.php?authorization=%{HTTP:Authorization} Исходный текст PHP-скрипта $authenticated=0; if(isset($_GET["authorization"])) { if(preg_match("/^Basic\s+(.*)$/i", $_GET["authorization"], $user_pass)) { list($user,$pass)=explode(":",base64_decode($user_pass)); // Проверка корректности введенных реквизитов доступа if($user=="user" && $pass=="password") { $authenticated=1; } } } if($authenticated) { // Авторизация успешно пройдена echo("user: ".$user."pass: ".$pass); } else { header("WWW-Authenticate: Basic realm="Restricted Area""); header("HTTP/1.1 401 Unauthorized"); echo("Access denied."); }
Иногда бывает нужно закрыть от постороннего доступа PHP страницу, если Вы делаете закрытую область сайта. Это может быть какая-то скрытая информация для ваших клиентов или посетителей сайта, какой-то администраторский интерфейс для вас и т.д. Можно придумать сотни различных задач требующих ограничения доступа.
Закрыть такую страницу можно несколькими взаимодополняющими друг друга способами:
Разберем сначала первый способ, который является основным. Он позволяет закрыть доступ к странице по логину и паролю, таким образом доступ могут получить только люди знающие логин и пароль. К тому же их можно разделять по этому признаку и выдавать соответственно разную информацию для каждого. Реализуется с помощью выдачи специальных полей в заголовке протокола HTTP . Создадим функцию auth_send() :
Эту функция сообщает браузеру о том, что для доступа нужна авторизация по логину и паролю. И выдает также страницу в HTML для пользователя.
Код проверки логина и пароля не слишком сложный в данном случае, так как реализован для одного человека. Логика работы проста, если нет переменной $_SERVER["PHP_AUTH_USER"] и $_SERVER["PHP_AUTH_PW"] или их значения не совпадают с нужными, то вызываете функцию auth_send() . Не забывайте, что в ней в конце вызывается exit , поэтому выполнение программы прекращается.
Следующая ступень защиты реализуется по фильтрации IP адреса подключающегося клиента. Конечно в интернете многие провайдеры выдают IP адреса на время и эту защиту использовать бесполезно, но если речь идет о корпоративных локальных сетях, то данная проверка обеспечит дополнительную защиту.
Тут в строке $allowed_ips через пробел указаны IP адреса, которым разрешен доступ. Далее получаем массив с помощью explode() и делаем поиск адреса клиента из $_SERVER["REMOTE_ADDR"] . Я для поиска применил функцию array_search() , так как неверняка ее код реализованный на Си будет работать несколько быстрее, чем то, что мы можем написать на PHP с помощью циклов for или foreach . Но скорость тут не главное:)
И последняя ступень защиты это проверка MAC адреса. Она относится к разряду параноидальных и ее стоит использовать, если вы получаете доступ из локальной сети и данные, которые вы защищаете действительно очень важные. Я пока реализовал эту проверку только на системе Linux , в силу относительной простоты реализации. Но Вы можете ее попробовать реализовать под любую другую платформу. Пишем функцию:
Как линуксоиды уже поняли она основана на ARP таблице системы, доступ к которой можно получить с помощью файла /proc/net/arp . Функция ищет по строкам требуемый IP адрес и возвращает его MAC адрес:
Ваш IP=192.168.10.15 и MAC=00:04:31:E4:F8:37
В системе Windows возможно тоже есть какие-то способы получить MAC попроще, но из тех, которые реально работают, это вывод ARP таблицы системы командой:
C:\WINDOWS\>arp -a Интерфейс: 192.168.10.15 on Interface 0x1000003 Адрес IP Физический адрес Тип 192.168.10.1 00-50-22-b0-6a-aa динамический 192.168.10.2 00-0f-38-68-e9-e8 динамический 192.168.10.3 00-04-61-9e-26-09 динамический 192.168.10.5 00-0f-38-6a-b1-18 динамический
Реализовать защиту на основе этого адреса Вы сможете сами, если Вам это действительно надо:) Но помните, что если у Вас в сети неуправляемое оборудование без возможности привязки MAC адреса к порту, эта защита может не сработать, так как можно подделать все Ваши идентификационные данные используемые для защиты (логин, пароль, IP и MAC адрес).
Доброго времени суток друзья! Давай с Вами рассмотрим регистрацию пользователей на PHP. Для начала давайте определим условия для нашей регистрации пользователей:
- Пароль шифруем при помощи алгоритма MD5
- Пароль будем "солить"
- Проверка на занятость Логина
- Активация пользователя письмом.
- Запись и хранение данных в СУБД MySQL
Для написание данного скрипта нам нужно понять, что такое регистрация пользователя. Регистрация пользователя - это получения данных реального пользователя, обработка и хранение данных.
Если объяснять простыми словами то регистрация это всего лишь запись и хранение определенных данных по которым мы можем авторизировать пользователя в нашем случае - это Логин и Пароль.
Авторизация — предоставление определённому лицу или группе лиц прав на выполнение определённых действий, а также процесс проверки данных прав при попытке выполнения этих действий. Проше говоря с помощью авторизации мы можем разграничить доступ к тому или иному контенту на нашем сайте.
Рассмотрим структуру каталогов скриптов для реализации нашей регистрации с авторизацией. Нам нужно разбить скрипты на логические составляющие. Модули регистрации и авторизации мы поместив в отдельный каталог. Так же в отдельные каталоги мы поместим подключение к базе данных MySQL , файл с пользовательскими функциями, файл стилей CSS и наш шаблон HTML . Данная структура позволяет быстро ориентироваться в скриптах. Представьте себе, что у Вас большой сайт с кучей модулями и т.д. и если не будет порядка, то будет очень сложно что-то отыскать в таком бардаке.
Так как мы будем хранить все данные в СУБД MySQL , то давайте создадим не большую таблицу в которой будем хранить данные о регистрации.
Для начала нужно создать таблицу в базе данных. Таблицу назовем bez_reg где bez - это префикс таблицы, а reg название таблицы.
Структура таблицы: bez_reg -- -- Структура таблицы `bez_reg` -- CREATE TABLE IF NOT EXISTS `bez_reg` (`id` int(11) NOT NULL AUTO_INCREMENT, `login` varchar(200) NOT NULL, `pass` varchar(32) NOT NULL, `salt` varchar(32) NOT NULL, `active_hex` varchar(32) NOT NULL, `status` int(1) NOT NULL, PRIMARY KEY (`id`)) ENGINE=MyISAM DEFAULT CHARSET=utf8 AUTO_INCREMENT=1 ; Теперь создадим основные скрипты для дальнейшей работы. Файл INDEX.PHPФайл CONFIG.PHP
less/reg/?mode=auth">Войти