PHP 用户认证

在专门? Web 网站上，常常会需要用户的帐号及密码，也就是身份确认的步骤。早期的 NCSA httpd 服务器 并没有提供这项用户确认的功能，Webmaster 只能用手工打造一个身份确认的 CGI 程序。

自 CERN httpd 之后的 Web 服务器大部份都提供了用户身份确认的功能。仅管每套 Web 服务器的配置都不太相同，但在配置上都大同小异。

以下就是 Apache 服务器上的用户身份确认的配置。

<Directory /home/MyMember> AuthType Basic AuthName MyMember AuthUserFile /usr/local/MyMember.txt Options Includes ExecCGI <Limit GET POST> require valid-user </Limit> </Directory>

在这个例子中，当用户在看 MyMember 目录下所有的文件，包括图片文件及其它各式文件时，都需要用户的帐号密码确认。而用户的帐号及密码文件都存在于 /usr/local/MyMember.txt 之中。

这个帐号密码文件 /usr/local/MyMember.txt 的样子可能如下例。其中冒号前的字符串是用户帐号，冒号之后的字符串是经过不可还原加密的密码，编码一般都是使用传统的 DES 编码，密码的头两个字是类似种子的字符 (salt)，本例中都是 3P。每行代表一位用户。当然 Webmaster 要自行控制重覆帐号的情形。比较特殊是在 Win32 系统上架 Apache 的情形，冒号后的密码不可加密，因为 Win32 没有提供这方面的编码 API，因此用户密码以明码的方式存在。

john1234:3PWudBlJMiwro queenwan:3PFNVLNPN9W0M noname00:3PEsXaJx5pk7E wilson49:3PjoWb0EnaG22 rootboot:3PIt0snI6.84E sun_moon:3PvymMeNOc.x. nobody38:3PbskPKwV94hw

在 Apache 1.3.6 版上，可以用 ~apache/bin/htpasswd 来产生单笔的帐号及密码，但对于需要大笔资料的商业网站，可能就需要自行写程序来处理了。UNIX 上需要调用 crypt() 来处理编码。

在一切都配置好了之后，连接时就会在浏览器出现查核密码的窗口，如上图就是 SEEDNet 的 MySEED 网站的用户查核机制。在输入了帐号及密码后，浏览器会将它用 BASE64 编码后，传到服务器端。当然 BASE64 只是编码不是加密，因此在网络上这种传输的安全性仍然不高，还是有可能被中间的刽客截下，再将 BASE64 还原，这也是整个用户认证中最美中不足的地方，或许日后支持摘要认证 (Digest) 及使用 MD5 编码后，可以解决这种问题。之后每一页仍然需要帐号及密码，只不过浏览器会帮你主动送出，不用再输入帐号密码了。这方面浏览器会保留到被关闭为止，下次重执行浏览器仍需输入第一次。

在用户数量少时，使用上述的方法轻松又省事。但是在用户有数万人，甚至数十万人时，会发生整个服务器的效率都被搜寻帐号密码下拖垮，可能读取一页需要数十秒到数分钟。这种情形再使用服务器提供的密码查核机制就不太明智了。在 Netscape Enterprise Server 上可能就可以使用 NSAPI 来开发自己的查核方式，在 IIS 上也可以用 ISAPI 过滤器开发。写 C/C++ 程序调用 NSAPI/ISAPI 总是很累，在 PHP 上有了另外的选择，这也是本节的主题。

PHP 的 HTTP 相关函数库提供了 header() 的函数。许多 Web 服务器与客户端的互动，都可以使用这个函数来变戏法。例如在某个 PHP 页面最开始处，也就是第一行或第二行，加入以下的程序，可以将用户重定向到作者的网页。

<?php
header ( "Location: http://wilson.gs" );
exit;
?>
php爱好　者站 http://www.ｐｈｐｆａｎｓ.net php基础|php进阶|php模板.