转：实例学习PHP程序对用户身份认证实现两种方法

用户在设计和维护站点的时候，经常需要限制对某些重要文件或信息的访问。通常，我们可以采用内置于WEB服务器的基于HTTP协议的用户身份验证机制。 当访问者浏览受保护页面时，客户端浏览器会弹出对话窗口要求用户输入用户名和密码，对用户的身份进行验证，以决定用户是否有权访问页面。下面用两种方法来说明其实现原理。

　　一、用HTTP标头来实现

　　标头是服务器以HTTP协议传送HTML信息到浏览器前所送出的字串。HTTP采用一种挑战/响应模式对试图进入受密码保护区域的用户进行身份验证。具体来说，当用户首次向WEB服务器发出访问受保护区域的请求时，挑战进程被启动，服务器返回特殊的401标头，表明该用户身份未经验证。客户端浏览器在检测到上述响应之后自动弹出对话框，要求用户输入用户名和密码。用户完成输入之后点击确定，其身份识别信息就被传送到服务端进行验证。如果用户输入的用户名和密码有效，WEB服务器将允许用户进入受保护区域，并且在整个访问过程中保持其身份的有效性。相反，若用户输入的用户名称或密码无法通过验证，客户端浏览器会不断弹出输入窗口要求用户再次尝试输入正确的信息。整个过程将一直持续到用户输入正确的信息位置，也可以设定允许用户进行尝试的最大次数，超出时将自动拒绝用户的访问请求。

　　在PHP脚本中，使用函数header()直接给客户端的浏览器发送HTTP标头，这样在客户端将会自动弹出用户名和密码输入窗口，来实现我们的身份认证功能。在PHP中，客户端用户输入的信息传送到服务器之后自动保存在 $PHP_AUTH_USER,$PHP_AUTH_PW,以及 $PHP_AUTH_TYPE这三个全局变量中。利用这三个变量，我们可以根据保存在数据文件或者数据库中用户帐号信息来验证用户身份!

不过，需要提醒使用者注意的是：只有在以模块方式安装的PHP中才能使用$PHP_AUTH_USER，$PHP_AUTH_PW，以及 $PHP_AUTH_TYPE这三个变量。如果用户使用的是CGI模式的PHP则无法实现验证功能。在本节后附有PHP的模块方式安装方法。

　　下面我们用Mysql数据库来存储用户的身份。我们需要从数据库中提取每个帐号的用户名和密码以便与$PHP_AUTH_USER和$PHP_AUTH_PW变量进行比较，判断用户的真实性。

　　首先，在MySql中建立一个存放用户信息的数据库

　　数据库名为XinXiKu ，表名为user；表定义如下：

View Code

session_start();
if (!session_is_registered("user"))
{
echo "身份验证失败，属于非法登录!";
}
else
{
//成功登录进行相关操作
...
}
?>

附录：PHP以模块方式安装方法

　　1、首先下载文件:mod_php4-4.0.1-pl2。[如果你的不是PHP4，那么就赶快升级吧!]

　　解开后有三个文件:mod_php4.dll、mod_php4.conf、readme.txt

　　2、相关文件拷贝

　　把mod_php4.dll拷贝到apache安装目录的modules目录下面

　　把mod_php4.conf拷贝到apache安装目录的conf目录下面

　　把msvcrt.dll文件拷贝到apache的安装目录下面

　　3、打开conf/srm.conf文件 ，在其中加上一句

　　Include conf/mod_php4.conf

　　在做这一些之前请把您的httpd.conf中关于CGI模式的所以设置语句都去掉,即类似下面的部分!
ScripAlias /php4/ "C:/php4/"
AddType application/x-httpd-php4 .php
AddType application/x-httpd-php4 .php3
AddType application/x-httpd-php4 .php4
Action application/x-httpd-php4 /php4/php.exe

要想使PHP支持更多的后缀名，没问题。在给出的配置文件mod_php4.conf已经支持了三种后缀名php,php3,php4，如果你还想支持更多的后缀名可以更改这个文件，很简单的。

　　4、测试

　　用<? phpinfo(); ?> 测试。会看到Server API的值为apache,而不是cgi ，而且还有有关HTTP Headers Information的信息。

转自：http://tech.ddvip.com/2007-08/118755084432385.html