Jak pomocí PHP zajistit, aby se uživatel musel před shlédnutím stránky přihlásit?
29.9.2004 15:00 | Petr Zajíc | přečteno 61542×
Weby psané pomocí PHP se málokdy skládají z jedné stránky. Většinou jde o sadu stránek, které jsou vzájemně nějak provázané a které zajišťují různé úkoly. S tím souvisí otázka zabezpečení - asi nebudete chtít pouštět uživatele na administrační stránku. Dnes si tedy ukážeme, jak pomocí PHP přihlásit uživatele.
Ono to má související problém, a tím je sdílení dat mezi více
stránkami. Tomu se budeme postupně věnovat v následujících dílech
seriálu. Ale pochopitelně to, zda je uživatel přihlášen je rovněž často
potřeba vědět na více stránkách.
Mějme například následující stránku PHP:
<?
$server="mysql.linuxsoft.cz";
$user="Petr Zajíc";
$password="heslo";
echo "Při přihlášení se musí použít
server <B>$server</B>,
uživatel <B>$user</B> a heslo <B>$password</B>.";
?>
Asi chápete, že sem byste běžného uživatele pustit nechtěli. Pomocí
PHP však můžete povolit vstup pouze autentifikovaným uživatelům.
Princip je velmi jednoduchý. Musíte donutit server, aby si myslel, že
ke stránce nemá přístup kdekdo, a požádal Vás o autentifikaci. To lze
provést pomocí jedné z hlaviček protokolu http:
Header("WWW-Authenticate: Basic
realm=\"oblast_hesel\"");
Header("HTTP/1.0 401 Unauthorized");
Jakmile tato hlavička dorazí na server, neodešle klientovi (tedy
prohlížeči) tělo stránky, ale požadavek na autentifikaci. Takže se Vám
v prohlížeči objeví klasické okno pro zadání jména a hesla. To je pak
odesláno zpět na server a (což je pro nás důležité) uloženo pro další
práci jako součást informací v asociativním poli $_SERVER. Konkrétně je
to takto:
| Informace |
Získaná pomocí |
Je v proměnné |
| Uživatelské jméno |
kolonky "jméno uživatele"
přihlašovacícho dialogu |
$_SERVER['PHP_AUTH_USER'] |
| Heslo |
kolonky "heslo" přihlašovacícho dialogu | $_SERVER['PHP_AUTH_PW'] |
| Typ autentifikace |
hodnoty hlavičky
WWW-Authenticate (PHP umí jen typ Basic) |
$_SERVER['AUTH_TYPE'] |
Aby nedošlo k mýlce - ověření jména a hesla musíme provést sami.
Uvedený postup jméno a heslo pouze od uživatele získal, informace však
nijak neporovnával s žádným seznamem povolených uživatelů a/nebo hesel.
Můžete například ověřit jméno a heslo proti databázi nebo je porovnat s
údaji v samotném skriptu.
Pozn.: Uvedené věci platí ovšem
jen tehdy, pokud PHP běží jako modul Apache. Jestliže běží jako
interpreter CGI, nebude to fungovat.
V praxi musíte pamatovat ještě na pár technických detailů. Příjemné
je například to, že po úspěšném ověření jsou přihlašovací informace pro
daný realm k dispozici i dalším skriptům, a to až do odhlášení nebo
uzavření prohlížeče. Z toho vyplývají dvě věci:
Mějme tedy jako příklad dvě "super tajné" stránky. Všimněte si, že z každé vede odkaz na tu druhou:
Ukázat skript 1 | Spustit skript 1
Ukázat skript 2 | Spustit skript 2
Jestliže budeme chtít, aby na obě stránky měl přístup pouze uživatel Honza s heslem jezevec, půjdeme na to následovně: Nejprve si vytvoříme soubor auth.php, který bude obsluhovat ověřování:
<?
if (!IsSet($_SERVER["PHP_AUTH_USER"]))
{
Header("WWW-Authenticate: Basic
realm=\"Hesla\"");
Header("HTTP/1.0 401
Unauthorized");
echo "Přístup pouze na
uživatelské jméno a heslo.";
exit;
}
else
{
if ($_SERVER["PHP_AUTH_USER"]!="Honza") { echo "Neplatné
přihlašovací jméno!"; exit;}
if ($_SERVER["PHP_AUTH_PW"]!="jezevec") { echo "Neplatné
heslo!"; exit;}
}
?>
A následně pomocí direktivy require tento soubor vložíme na začátek našich dvou skriptů. Výsledek bude tento:
Ukázat skript 1 | Spustit skript 1
Ukázat skript 2 | Spustit skript 2
Všimněte si, že ověřování můžete zkazit jenom jednou, protože pak si již server zadané údaje pamatuje. To je trošičku nevýhoda uvedeného postupu, ale je víceméně jediná. Rovněž si všimněte, že po ověření z libovolného z obou skriptů je automaticky k dispozici i ten druhý.
V dalším díle našeho seriálu se podíváme na lehce příbuzné téma - a tím bude sdílení informací mezi stránkami.