最近某婚介公司的实习生赵大胖的领导姚无发给赵大胖安排了一个任务:

给网站加上访问控制,游客不能访问看到美女的资料,只有注册的会员才能浏览

赵大胖一时没有很好的思路,然后找到了研发组大佬老郑头。

老郑头毕竟是在web开发领域混迹了多年的老泥鳅了,对这块还算是比较了解。但是为了在小弟面前显摆显摆,就跺着八字步走到了阳台,颤抖着点燃一支烟,放到嘴边狠狠抽了一口,长长的吐出一口气之后,凝望着远方,深邃地说:

  • 请求头auth 认证
  • session 控制

然后在赵大胖充满崇拜的眼神中,缓缓的消失了,一片云雾缭绕,深藏功与名。


请求头auth认证

HTTP认证原理

赵大胖根据自己曾经在学校来一桶图书馆学到的知识,想起了一段关于HTTP协议的故事。

通信双方通过HTTP协议这门统一的“语言”进行交流。客户端发送一个http请求,服务器端根据http协议解析请求,然后按照http协议格式生成响应内容,反馈给客户端。以此来完成一轮“交流”。

想到这,赵胖子立刻着手模拟了一下,来验证自己的想法。然后用客户端浏览器发送了一个http请求。赵大胖很明白,虽然在浏览器中输入的仅仅是一个URL,但是实际上浏览器底层做了很多的工作。

URL: http://localhost/learn/accesscontrol/http.php

GET /learn/accesscontrol/http.php HTTP/1.1
Host: localhost
Connection: keep-alive
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/59.0.3071.86 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8
Accept-Encoding: gzip, deflate, br
Accept-Language: zh-CN,zh;q=0.8

然后服务器端通过检测请求头的Authorization字段,判断客户端是否属于会员客户,然后给予不同的响应。

  • 如果是会员客户:(正常反馈即可)
HTTP/1.1 200 OK
Date: Thu, 13 Jul 2017 07:26:03 GMT
Server: Apache/2.4.25 (Win64) PHP/7.1.3
X-Powered-By: PHP/7.1.3
Content-Length: 78
Keep-Alive: timeout=5, max=100
Connection: Keep-Alive
Content-Type: text/html; charset=UTF-8
  • 如果是游客:(友情的提示认证未通过)
HTTP/1.1 401 Unauthorized
Date: Thu, 13 Jul 2017 07:23:37 GMT
Server: Apache/2.4.25 (Win64) PHP/7.1.3
X-Powered-By: PHP/7.1.3
WWW-Authenticate: Basic realm='PHP Secured'
Content-Length: 12
Keep-Alive: timeout=5, max=100
Connection: Keep-Alive
Content-Type: text/html; charset=UTF-8

字段剖析

虽然大致流程明白了,但是赵大胖最近吃的油水太多,记忆力严重下降,尤其是看到

Authorization: Basic emhhbmdzYW46emhhbmdzYW4=
和
WWW-Authenticate: Basic realm='PHP Secured'

这段描述,但是鉴于不好意思再去问老郑头,就只能去问谷哥了,谷哥还是那么帅,“有求必应”,只需要在浏览器中输入正确的关键字,谷哥立马就给了回复,这让忧郁的赵大胖感到一丝慰藉。

原来,Authorization头就是一个base64编码了的用户名密码的字符串啊。编码前的格式为

"username:password"

虽然base64编码后的字符串乍看起来让赵大胖无解,但是赵大胖知道,对付这种小菜,会非常的容易。服务器接收到客户端带有认证的请求头后就会进行解析,判断系统有没有这个用户,身份不合法的话就会再次发送

HTTP/1.1 401 Authorization Required

再次让客户端输入正确的信息,直到认证成功。认证成功后浏览器将记住用户名密码,自动向请求 同域 重新发送将来的请求。

实战http认证

明白了这些,赵大胖拍了拍自己鼓囊囊的大肚子,顺便捋了捋原本就不多的头发,开始噼里啪啦的敲起了跟随多年的键盘,不一会儿便写完了。正好领导姚无发路过,赵大胖拉着领导的手,演示起了自己的Demo。

http.php

<?php
/**
 * @Author: 郭 璞
 * @File: http.php
 * @Time: 2017/7/13
 * @Contact: 1064319632@qq.com
 * @blog: http://blog.csdn.net/marksinoberg
 * @Description: 通过HTTP的Authenticate 进行访问控制。
 **/

// 合法的用户,可以是存储在数据库中或者其他的存储介质中。
$users = [
    "zhangsan" => "zhangsan",
    "lisi" => "lisi",
    "wangwu" => "wangwu",
    "zhaoliu" => "zhaoliu"
];

if(!isset($_SERVER['PHP_AUTH_USER'])) {
    header("HTTP/1.1 401 Unauthorized");
    header("WWW-Authenticate: Basic realm='PHP Secured'");
    exit("Unauthorized");
}

if($users[$_SERVER['PHP_AUTH_USER']] != $_SERVER['PHP_AUTH_PW']) {
    header("HTTP/1.1 401 Unauthorized");
    header("WWW-Authenticate: Basic realm='PHP Secured'");
    exit("Unauthorized");
}

echo "You are credentials were:<br/>";
echo "Username: ".$_SERVER['PHP_AUTH_USER']."<br />";
echo "Password: ".$_SERVER['PHP_AUTH_PW']."<br />";

?>

浏览器演示

赵大胖第一次输入了:zhangsan123456这么个错误的认证。服务器也很听话,发现身份不合法,就非得让赵大胖输入合法的信息,才放行。于是赵大胖第二次输入了:zhangsan, zhangsan。这才认证通过。

其他方式

领导姚无发看了看说:浏览器只是客户端的一种,万一有用户用的不是浏览器呢?

赵大胖略微想了想,又写下了代码版访问。

# coding: utf8

import requests

username = "zhangsan"
password = "zhansgsan"

url = "http://localhost/learn/accesscontrol/http.php"

# response = requests.get(url=url, auth=(username, password))
response = requests.get(url=url)
print(response.status_code)

print(response.text)


领导姚无发心想,赵大胖这小子可以啊,这么快就完成了。看来公司这次招聘抓到宝了。不行,我得再考考他。于是仍然面不改色的说:http认证是个好办法,你还有没有其他实现呢?


session控制

赵大胖打着自己的小算盘,心想:哼╭(╯^╰)╮,还想为难我,俺不怕。

然后根据偶像老郑头之前的锦囊妙计,开始了新一轮的编码。

session剖析

赵大胖对于session可是不太了解,不过没关系,还有谷哥嘛。谷哥给出了这样的解释:

会话允许存储一个页面的变量(状态),并在另一个页面中使用它们。在PHP中,会产生一个32位的字符串来标识客户端的会话,然后将这个串传递给浏览器,同时在服务器上产生一个文件并将此会话的ID包括在文件名中。浏览器访问另一个页面的时候,就通过URL查询字符串或者返回cookie的方式告诉服务器它要指定的会话,这样状态便可以畅通无阻了。

“也就是说在一次访问过程中,用户的状态会被保存呗,那这可就方便多了啊”,赵大胖自言自语的说。

实战Session

没有任何艺术细胞的赵大胖不是很擅长前端,于是多花了点时间,仍旧写不出好看的网页。不过还好,功能上算是完成了。

login.php

<?php
/**
 * @Author: 郭 璞
 * @File: login.php
 * @Time: 2017/7/13
 * @Contact: 1064319632@qq.com
 * @blog: http://blog.csdn.net/marksinoberg
 * @Description:
 **/
session_start();

$html = <<< EOD
<form action="secret.php" method="POST">

    <legend>
        用户登录
    </legend>
    <fieldset>
        <label for="username">Username:</label>
        <input type="text" name="username"><br/>
        <br>
        <label for="password">Password:</label>
        <input type="password" name="password"><br/>
        <br>
        <input type="submit" value="登录">
    </fieldset>

</form>
EOD;

// 输出表单
echo $html;

secret.php

<?php
/**
 * @Author: 郭 璞
 * @File: secret.php
 * @Time: 2017/7/13
 * @Contact: 1064319632@qq.com
 * @blog: http://blog.csdn.net/marksinoberg
 * @Description:
 **/

session_start();

$users = [
    "zhangsan" => "zhangsan",
    "lisi" => "lisi",
    "wangwu" => "wangwu",
    "zhaoliu" => "zhaoliu"
];

$username = $_POST['username'];
$password = $_POST['password'];

if(in_array($username, $users)) {
    if($password===$users[$username]) {
        $_SESSION['username'] = $username;
        echo "Welcome <mark>$username </mark>, you can see secret documents now.";
    }else{
        echo "Sorry, Username not match password.<br>Please check it carefully.";
    }
}else{
    echo "Sorry, you are unauthorized.";
}

“每次都得在PHP文件开头写个session_start()还真是有点麻烦呢。”,赵大胖忍不住吐槽了一下。然后迫不及待的又把领导姚无发给叫来了,信誓旦旦的说自己完成了。

session控制演示

还是按照之前的做法,赵大胖先输入了一个非法用户,服务器当然不给通过啦,除非身份合法。于是赵大胖输入了正确的身份信息,服务器这才放行。

领导姚无发看了看,嘴角也忍不住向上弯了几度。对赵大胖说:

大胖啊,做的不错,好好干!


下班后,赵大胖非要请老郑头吃饭,来答谢老郑头的锦囊妙计,二人勾肩搭背,坐在街边大排档,喝着冰镇的啤酒,吃着烤串,真是好不热闹… …

                                               the end.

Web访问控制的更多相关文章

  1. linux系统web站点设置-http基础设置

    一.httpd2.2的组成: /etc/httpd:服务器的根目录 conf/httpd.conf,conf.d/*:配置文件 conf/magic:MIME的配置文件 logs:日志文件的存放路径, ...

  2. 使用Mechanize实现自动化表单处理

    使用Mechanize实现自动化表单处理   mechanize是对urllib2的部分功能的替换,能够更好的模拟浏览器行为,在web访问控制方面做得更全面 mechanize的特点: 1 http, ...

  3. 【转】说下lua使用场景

    [今日话题]说下lua使用场景 – flea 1. 我们有用,一些逻辑相对简单,没有复杂的数据交互,访问频次超高的接口实现,可以用lua,省得用phpfpm,太重,浪费资源. – 付坤   2. 也可 ...

  4. CentOS 7运维管理笔记(9)----Apache 安全控制与认证

    Apache 提供了多种安全控制手段,包括设置Web访问控制.用户登陆密码认证及 .htaccess 文件等.通过这些技术手段,可以进一步提升Apache服务器的安全级别,减少服务器受攻击或数据被窃取 ...

  5. 云计算之走进LINUX(二)

    引言 * 第二部分  云计算应用管理 [Shell脚本基础] [使用变量] [条件测试及选择] [列表式循环] [系统安全保护] [配置用户环境] [防火墙策略管理] [ISCSI共享存储] [数据库 ...

  6. 由于 web 服务器上此资源的访问控制列表(acl)配置或加密设置,您无权查看此目录或页面。

    场景:IIS中遇到无法预览的有关问题(HTTP 异常 401.3 - Unauthorized 由于 Web 服务器上此资源的访问控制列表(ACL)配置或加密设置 IIS中遇到无法预览的问题(HTTP ...

  7. 我的第一个python web开发框架(39)——后台接口权限访问控制处理

    前面的菜单.部门.职位与管理员管理功能完成后,接下来要处理的是将它们关联起来,根据职位管理中选定的权限控制菜单显示以及页面数据的访问和操作. 那么要怎么改造呢?我们可以通过用户的操作步骤来一步步进行处 ...

  8. 白帽子讲web安全——访问控制

    上一章说的认证与会话管理,这章是访问控制,刚看访问控制这章的时候,感觉跟上章的“授权”没什么区别,第一感受就是“授权”. 之后看了才进一步了解,“授权”是好比屋子的主人进来了,那么他可以坐在客厅,也可 ...

  9. web application 访问控制

    http://secappdev.org/handouts/2012/Jim%20Manico%20%26%20%20Eoin%20Keary/Final%20-%20Access%20Control ...

随机推荐

  1. 20145313张雪纯 《Java程序设计》第2周学习总结

    20145313张雪纯 <Java程序设计>第2周学习总结 教材学习内容总结 3.1.1类型 整数:分为short整数(2字节).int整数(4字节).long整数(8字节). 字节:by ...

  2. RN中有两种方式使用全局变量

    1.通过导入导出文件的方式 新建constants.js文件 const object = { website:'http://www.hao123.com', name:'好123', }; exp ...

  3. Hive的两种表

    1.内部表 内部表Load数据有两种方式:① Load data ***:②hdfs dfs -put ****.这是因为在Metastore文件,即mysql的hive数据库的“SDS”表中,保存着 ...

  4. LeetCode——Largest Rectangle in Histogram

    Question Given n non-negative integers representing the histogram's bar height where the width of ea ...

  5. Css(样式)

    CSS三种样式 1.行内样式         ①将css样式与html,完全糅杂在一起,不符合w3c关于“内容与表现分离”的基本规范,不利于后期维护.         ②优先级最高. 2.内部样式表 ...

  6. 数据库访问辅助类SqlHelper

    程序访问数据库需要进行的操作有创建与某个指定数据库的连接, 然后打开创建好的连接,创建执行指令(也就是sql执行代码), 最后执行指令,关闭创建的连接,释放资源. ado.net是一组用于和数据源进行 ...

  7. phalcon: dispatcher->forward地址转发/重定向

    比如,我indexController里面的indexAction,因为用户没有穿参数,我要重定向到 errorAction里面 $this->dispatcher->forward(ar ...

  8. 最优比率生成树 poj2728

    Desert King Time Limit: 3000MS   Memory Limit: 65536K Total Submissions: 28407   Accepted: 7863 Desc ...

  9. C#/JAVA 程序员转GO/GOLANG程序员笔记大全(DAY 06)

    ----------------------------------------- go 并发 // 注解:go 语言天生为程序并发所设计,可以说go的强项就是在cpu并发上的处理. // go 语言 ...

  10. 【待填坑】ajax问题

    原生xhr怎么写? 怎么处理回调? 问:http状态码常见有哪些? 问:302是啥?304是啥?什么时候会返回304?你刚刚说浏览器缓存,具体缓存机制是怎么样的? 问:你刚刚说的是发起一个get请求, ...