この記事では、セッション制御による PHP 認証の例を紹介します。ID の認証は、セッションを通じてデータを送信することです。困っている友達が来て探してくれるかもしれません。
セッション制御の考え方は、Web サイト上のセッションに基づいてユーザーを追跡できるようにすることです。詳細なコードはここにまとめられています。必要な友人はそれを参照してください。
概要
http プロトコルはステートレスであり、リクエストごとにサーバーはユーザーを区別できません。 PHP セッション制御はユーザーにキー (暗号化されたセッション文字列) を提供します。これはユーザーの ID の証明でもあり、サーバーはこのキーで開くことができるボックス (データベース、メモリ データベース、またはファイル) を保存します。ユーザーのさまざまな可変情報。
従来の PHP セッションの使用
<?php
//page1.php 启动一个会话并注册一个变量
session_start();
$_SESSION['user_var'] = "hello,codekissyoung!";
//这里的可以将$_SESSION理解为用户的箱子,实际的实现是php在服务器端生成的小文件
?>
ログイン後にコピー
<?php
//page2.php
session_start();
echo $_SESSION['user_var'];//通过钥匙访问自己的箱子内的变量
$_SESSION['user_var'] = "bey,codekissyoung!";
?>
ログイン後にコピー
<?php
//page3.php 销毁钥匙,一般在用户注销时,访问page3.php文件
session_start();
session_destroy();
?>
ログイン後にコピー
質問ですが、キーはどこにありますか?ユーザーにキーを与える操作を見ませんでしたか?
この操作は、page1.php にアクセスするとプログラムが実行され、session_start(); が実行されるため、その時点の条件 (ユーザー IP、ブラウザー番号、時刻) に基づいて php が生成されます。 PHPSESSID 変数。http 応答がクライアントに返された後、このドメイン名に再度アクセスするたびに、この PHPSESSID がサーバーに送信されます。この PHPSESSID が、ここで話しているユーザー キーです。
もう一つ質問ですが、この PHPSESSID のセキュリティは、盗まれやすいですか、偽造されやすいですか、改ざんされやすいですか?
HTTPS を使用すると改ざんを防ぐことができます。 PHPSESSID は使用せず、偽造を防ぐためにユーザーの秘密キーを生成します。盗難されやすいかどうかについては、実際には研究されていません。たとえば、コンピュータがインターネットに接続されており、ハッカーがコンピュータに侵入したとします。
生成された秘密鍵をブラウザのCookieに保存
Cookieを設定
setCookie('key','value',time()+3600);
Cookieを削除
setCookie('key','',time()-1);
シングルサインオンの実現: セッション共有
シングルサインオン: 複数のサブシステムがユーザー認証システムを共有し、1 つのログインでアクセスが可能すべてのサブシステムに。
次のシナリオを想像してください: サーバー A と B の PHP 環境が同じであると仮定します。ユーザーはサーバー A でキーを取得し、そのキーを使用してサーバー B にアクセスしました。ユーザーはサーバー B を知っていますか?
明らかにそうではありません。サーバーはサーバー A によって生成されたキーを認識しません。
解決策: ユーザーが A または B にアクセスするかどうかに関係なく、生成されたキーは C (同じデータベース、またはキャッシュ システム) に保存されます。ユーザーが A または B に再度アクセスすると、A と B の両方が C に質問します。 :このユーザーのキーは正しいですか?正しければ、ユーザーはAまたはBに保管されているボックスを使用できるようになります。
<?php
session_regenerate_id();//重置 session 字符
$session_info=array('uid'=>$uid,'session'=>session_encrypt(session_id().time()));
//下一步将,$session_info 存到 C 中
?>
ログイン後にコピー
以下はセッション制御を通じて認証を実装するPHPの例です
認証アプリケーションプリンシパル: authmain.PHP
<?php
//开启一个会话
session_start();
if((!isset($userid))||(!isset($password))) {
$userid=$_POST['userid'];
$password=$_POST['password'];
//连接数据库
$db_conn=new mysqli("localhost", "root", "","auth");
if(mysqli_connect_errno()){
echo '连接数据库失败:'.mysqli_connect_error();
exit();
}
//执行SQL查询语句
$query="SELECT * FROM authorized_users WHERE name='".$userid."' and password=sha1('".$password."')";
$result=$db_conn->query($query);
if($result->num_rows>0){
//注册一个会话变量
$_SESSION['valid_user']=$userid;
}
//断开数据库连接
$db_conn->close();
}
?>
<!DOCTYPE html>
<html>
<head>
<meta charset="UTF-8">
<title>身份验证</title>
</head>
<body>
<h1>主页</h1>
<?php
//判断用户是否已经登录
if(isset($_SESSION['valid_user'])){
echo $_SESSION['valid_user'].',您好,你已经登录';
echo '<a href="logout.php">退出登录</a><br/>';
}else{
if(isset($userid)){
echo '您没有登录成功';
}else{
echo '您还没有登录<br/>';
}
?>
<form method="post" action="authmain.php">
<p>用户名:<input type="text" name="userid"></p>
<p>密码:<input type="password" name="password"></p>
<p><input type="submit" name="submit" value="登录"></p>
</form>
<?php
}
?>
<br/>
<a href="members_only.php">登录进入</a>
</body>
</html>ログイン後にコピー
Webサイトの有効なユーザーチェック: members_only.php
<!DOCTYPE html>
<html>
<head>
<meta charset="UTF-8">
<title>身份验证</title>
</head>
<body>
<?php
//启用会话
session_start();
echo '<h1>会员有效</h1>';
if(isset($_SESSION['valid_user'])){
echo "<p>".$_SESSION['valid_user'].",您好,您已经登录成功</p>";
echo '<p>会员可享受折扣优惠</p>';
}else{
echo '<p>您还没有登录成功</p>';
echo '<p>只有登录成功才能查看此页</p>';
}
echo '<a href="authmain.php">返回主页</a>';
?>
</body>
</html>ログイン後にコピー
セッション変数をログアウトし、セッションを破棄します: logout .php
りー
以上がセッション制御による認証を実装するための PHP のサンプルコードの詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。
![[Web フロントエンド] Node.js クイック スタート](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
