Web访问控制

最近某婚介公司的实习生赵大胖的领导姚无发给赵大胖安排了一个任务：

给网站加上访问控制，游客不能访问看到美女的资料，只有注册的会员才能浏览。

赵大胖一时没有很好的思路，然后找到了研发组大佬老郑头。

老郑头毕竟是在web开发领域混迹了多年的老泥鳅了，对这块还算是比较了解。但是为了在小弟面前显摆显摆，就跺着八字步走到了阳台，颤抖着点燃一支烟，放到嘴边狠狠抽了一口，长长的吐出一口气之后，凝望着远方，深邃地说：

• 请求头auth 认证
• session 控制

然后在赵大胖充满崇拜的眼神中，缓缓的消失了，一片云雾缭绕，深藏功与名。

---

请求头auth认证

HTTP认证原理

赵大胖根据自己曾经在学校来一桶图书馆学到的知识，想起了一段关于HTTP协议的故事。

通信双方通过HTTP协议这门统一的“语言”进行交流。客户端发送一个http请求，服务器端根据http协议解析请求，然后按照http协议格式生成响应内容，反馈给客户端。以此来完成一轮“交流”。

想到这，赵胖子立刻着手模拟了一下，来验证自己的想法。然后用客户端浏览器发送了一个http请求。赵大胖很明白，虽然在浏览器中输入的仅仅是一个URL，但是实际上浏览器底层做了很多的工作。

URL： http://localhost/learn/accesscontrol/http.php

GET /learn/accesscontrol/http.php HTTP/1.1
Host: localhost
Connection: keep-alive
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/59.0.3071.86 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8
Accept-Encoding: gzip, deflate, br
Accept-Language: zh-CN,zh;q=0.8

然后服务器端通过检测请求头的Authorization字段，判断客户端是否属于会员客户，然后给予不同的响应。

• 如果是会员客户：（正常反馈即可）

HTTP/1.1 200 OK
Date: Thu, 13 Jul 2017 07:26:03 GMT
Server: Apache/2.4.25 (Win64) PHP/7.1.3
X-Powered-By: PHP/7.1.3
Content-Length: 78
Keep-Alive: timeout=5, max=100
Connection: Keep-Alive
Content-Type: text/html; charset=UTF-8

• 如果是游客：（友情的提示认证未通过）

HTTP/1.1 401 Unauthorized
Date: Thu, 13 Jul 2017 07:23:37 GMT
Server: Apache/2.4.25 (Win64) PHP/7.1.3
X-Powered-By: PHP/7.1.3
WWW-Authenticate: Basic realm='PHP Secured'
Content-Length: 12
Keep-Alive: timeout=5, max=100
Connection: Keep-Alive
Content-Type: text/html; charset=UTF-8

字段剖析

虽然大致流程明白了，但是赵大胖最近吃的油水太多，记忆力严重下降，尤其是看到

Authorization: Basic emhhbmdzYW46emhhbmdzYW4=
和
WWW-Authenticate: Basic realm='PHP Secured'

这段描述，但是鉴于不好意思再去问老郑头，就只能去问谷哥了，谷哥还是那么帅，“有求必应”，只需要在浏览器中输入正确的关键字，谷哥立马就给了回复，这让忧郁的赵大胖感到一丝慰藉。

原来，Authorization头就是一个base64编码了的用户名密码的字符串啊。编码前的格式为

"username:password"

虽然base64编码后的字符串乍看起来让赵大胖无解，但是赵大胖知道，对付这种小菜，会非常的容易。服务器接收到客户端带有认证的请求头后就会进行解析，判断系统有没有这个用户，身份不合法的话就会再次发送

HTTP/1.1 401 Authorization Required

再次让客户端输入正确的信息，直到认证成功。认证成功后浏览器将记住用户名密码，自动向请求 同域 重新发送将来的请求。

实战http认证

明白了这些，赵大胖拍了拍自己鼓囊囊的大肚子，顺便捋了捋原本就不多的头发，开始噼里啪啦的敲起了跟随多年的键盘，不一会儿便写完了。正好领导姚无发路过，赵大胖拉着领导的手，演示起了自己的Demo。

http.php

<?php
/**
 * @Author: 郭 璞
 * @File: http.php
 * @Time: 2017/7/13
 * @Contact: 1064319632@qq.com
 * @blog: http://blog.csdn.net/marksinoberg
 * @Description: 通过HTTP的Authenticate 进行访问控制。
 **/

// 合法的用户，可以是存储在数据库中或者其他的存储介质中。
$users = [
    "zhangsan" => "zhangsan",
    "lisi" => "lisi",
    "wangwu" => "wangwu",
    "zhaoliu" => "zhaoliu"
];

if(!isset($_SERVER['PHP_AUTH_USER'])) {
    header("HTTP/1.1 401 Unauthorized");
    header("WWW-Authenticate: Basic realm='PHP Secured'");
    exit("Unauthorized");
}

if($users[$_SERVER['PHP_AUTH_USER']] != $_SERVER['PHP_AUTH_PW']) {
    header("HTTP/1.1 401 Unauthorized");
    header("WWW-Authenticate: Basic realm='PHP Secured'");
    exit("Unauthorized");
}

echo "You are credentials were:<br/>";
echo "Username: ".$_SERVER['PHP_AUTH_USER']."<br />";
echo "Password: ".$_SERVER['PHP_AUTH_PW']."<br />";

?>

浏览器演示

赵大胖第一次输入了：zhangsan， 123456这么个错误的认证。服务器也很听话，发现身份不合法，就非得让赵大胖输入合法的信息，才放行。于是赵大胖第二次输入了：zhangsan, zhangsan。这才认证通过。

其他方式

领导姚无发看了看说：浏览器只是客户端的一种，万一有用户用的不是浏览器呢？

赵大胖略微想了想，又写下了代码版访问。

# coding: utf8

import requests

username = "zhangsan"
password = "zhansgsan"

url = "http://localhost/learn/accesscontrol/http.php"

# response = requests.get(url=url, auth=(username, password))
response = requests.get(url=url)
print(response.status_code)

print(response.text)

---

领导姚无发心想，赵大胖这小子可以啊，这么快就完成了。看来公司这次招聘抓到宝了。不行，我得再考考他。于是仍然面不改色的说：http认证是个好办法，你还有没有其他实现呢？

---

session控制

赵大胖打着自己的小算盘，心想：哼╭(╯^╰)╮，还想为难我，俺不怕。

然后根据偶像老郑头之前的锦囊妙计，开始了新一轮的编码。

session剖析

赵大胖对于session可是不太了解，不过没关系，还有谷哥嘛。谷哥给出了这样的解释：

会话允许存储一个页面的变量（状态），并在另一个页面中使用它们。在PHP中，会产生一个32位的字符串来标识客户端的会话，然后将这个串传递给浏览器，同时在服务器上产生一个文件并将此会话的ID包括在文件名中。浏览器访问另一个页面的时候，就通过URL查询字符串或者返回cookie的方式告诉服务器它要指定的会话，这样状态便可以畅通无阻了。

“也就是说在一次访问过程中，用户的状态会被保存呗，那这可就方便多了啊”，赵大胖自言自语的说。

实战Session

没有任何艺术细胞的赵大胖不是很擅长前端，于是多花了点时间，仍旧写不出好看的网页。不过还好，功能上算是完成了。

login.php

<?php
/**
 * @Author: 郭 璞
 * @File: login.php
 * @Time: 2017/7/13
 * @Contact: 1064319632@qq.com
 * @blog: http://blog.csdn.net/marksinoberg
 * @Description:
 **/
session_start();

$html = <<< EOD
<form action="secret.php" method="POST">

    <legend>
        用户登录
    </legend>
    <fieldset>
        <label for="username">Username:</label>
        <input type="text" name="username"><br/>
        <br>
        <label for="password">Password:</label>
        <input type="password" name="password"><br/>
        <br>
        <input type="submit" value="登录">
    </fieldset>

</form>
EOD;

// 输出表单
echo $html;

secret.php

<?php
/**
 * @Author: 郭 璞
 * @File: secret.php
 * @Time: 2017/7/13
 * @Contact: 1064319632@qq.com
 * @blog: http://blog.csdn.net/marksinoberg
 * @Description:
 **/

session_start();

$users = [
    "zhangsan" => "zhangsan",
    "lisi" => "lisi",
    "wangwu" => "wangwu",
    "zhaoliu" => "zhaoliu"
];

$username = $_POST['username'];
$password = $_POST['password'];

if(in_array($username, $users)) {
    if($password===$users[$username]) {
        $_SESSION['username'] = $username;
        echo "Welcome <mark>$username </mark>, you can see secret documents now.";
    }else{
        echo "Sorry, Username not match password.<br>Please check it carefully.";
    }
}else{
    echo "Sorry, you are unauthorized.";
}

“每次都得在PHP文件开头写个session_start()还真是有点麻烦呢。”，赵大胖忍不住吐槽了一下。然后迫不及待的又把领导姚无发给叫来了，信誓旦旦的说自己完成了。

session控制演示

还是按照之前的做法，赵大胖先输入了一个非法用户，服务器当然不给通过啦，除非身份合法。于是赵大胖输入了正确的身份信息，服务器这才放行。

领导姚无发看了看，嘴角也忍不住向上弯了几度。对赵大胖说：

大胖啊，做的不错，好好干！。

---

下班后，赵大胖非要请老郑头吃饭，来答谢老郑头的锦囊妙计，二人勾肩搭背，坐在街边大排档，喝着冰镇的啤酒，吃着烤串，真是好不热闹… …

                                               the end.