在專(zhuān)業(yè)的 Web 站臺(tái)上，常常會(huì)需要使用者的帳號(hào)及密碼，也就是身份確認(rèn)的動(dòng)作。早期的 NCSA httpd 伺服器并沒(méi)有提供這項(xiàng)使用者確認(rèn)的功能，Webmaster 只能用手工打造一個(gè)身份確認(rèn)的 CGI 程式。  
自 CERN httpd 之后的 Web 伺服器大部份都提供了使用者身份確認(rèn)的功能。僅管每套 Web 伺服器的設(shè)定都不太相同，但在設(shè)定上都大同小異。  

以下就是 Apache 伺服器上的使用者身份確認(rèn)的設(shè)定。  


<Directory /home/MyMember>  
AuthType Basic  
AuthName MyMember  
AuthUserFile /usr/local/MyMember.txt  
Options Includes ExecCGI  
<Limit GET POST>  
require valid-user  
</Limit>  
</Directory>  

在這個(gè)例子中，當(dāng)使用者在看 MyMember 目錄下所有的檔案，包括圖片檔案及其它各式檔案時(shí)，都需要使用者的帳號(hào)密碼確認(rèn)。而使用者的帳號(hào)及密碼檔都存在于/usr/local/MyMember.txt 之中。  

這個(gè)帳號(hào)密碼檔 /usr/local/MyMember.txt 的樣子可能如下例。其中冒號(hào)前的字串是使用者帳號(hào)，冒號(hào)之后的字串是經(jīng)過(guò)不可還原加密的密碼，編碼一般都是使用傳統(tǒng)的 DES 編碼，密碼的頭二個(gè)字是類(lèi)似種子的字元 (salt)，本例中都是 3P。每行代表一位使用者。當(dāng)然 Webmaster 要自行控制重覆帳號(hào)的情形。比較特殊是在 Win32 系統(tǒng)上架 Apache 的情形，冒號(hào)后的密碼不可加密，因?yàn)?Win32 沒(méi)有提供這方面的編碼  
API，因此使用者密碼以明碼的方式存在。  


john1234:3PWudBlJMiwro  
queenwan:3PFNVLNPN9W0M  
noname00:3PEsXaJx5pk7E  
wilson49:3PjoWb0EnaG22  
rootboot:3PIt0snI6.84E  
sun_moon:3PvymMeNOc.x.  
nobody38:3PbskPKwV94hw  

在 Apache 1.3.6 版上，可以用 ~apache/bin/htpasswd 來(lái)產(chǎn)生單筆的帳號(hào)及密碼，但對(duì)于需要大筆資料的商業(yè)站臺(tái)，可能就需要自行寫(xiě)程式來(lái)處理了。UNIX 上需要呼叫 crypt() 來(lái)處理編碼。  



在一切都設(shè)定好了之后，連線(xiàn)時(shí)就會(huì)在瀏覽器出現(xiàn)查核密碼的視窗，如上圖就是SEEDNet 的 MySEED 網(wǎng)站的使用者查核機(jī)制。在輸入了帳號(hào)及密碼后，瀏覽器會(huì)將它用BASE64 編碼后，傳到伺服器端。當(dāng)然 BASE64 只是編碼不是加密，因此在網(wǎng)路上這種傳輸?shù)陌踩�性仍然不高，還是有可能被中間的�？徒叵拢�再將 BASE64 還原，這也是整個(gè)使用者認(rèn)證中最美中不足的地方，或許日后支援摘要認(rèn)證 (Digest) 及使用 MD5 編碼后，可以解決這種問(wèn)題。之后每一頁(yè)仍然需要帳號(hào)及密碼，只不過(guò)瀏覽器會(huì)幫你主動(dòng)送出，不用再輸入帳號(hào)密碼了。這方面瀏覽器會(huì)保留到被關(guān)閉為止，下次重執(zhí)行瀏覽器仍需輸入第一次。  

在使用者數(shù)量少時(shí)，使用上述的方法輕松又省事。但是在使用者有數(shù)萬(wàn)人，甚至數(shù)十萬(wàn)人時(shí)，會(huì)發(fā)生整個(gè)伺服器的效率都被搜尋帳號(hào)密碼下拖垮，可能讀取一頁(yè)需要數(shù)十秒到數(shù)分鐘。這種情形再使用伺服器提供的密碼查核機(jī)制就不太明智了。在Netscape Enterprise Server 上可能就可以使用 NSAPI 來(lái)開(kāi)發(fā)自己的查核方式，在IIS 上也可以用 ISAPI 過(guò)濾器開(kāi)發(fā)。寫(xiě) C/C++ 程式呼叫 NSAPI/ISAPI 總是很累，在PHP 上有了另外的選擇，這也是本節(jié)的主題。  


PHP 的 HTTP 相關(guān)函式庫(kù)提供了 header() 的函式。許多 Web 伺服器與客戶(hù)端的互動(dòng)，都可以使用這個(gè)函式來(lái)變戲法。例如在某個(gè) PHP 頁(yè)面最開(kāi)始處，也就是第一行或第二行，加入以下的程式，可以將使用者重導(dǎo)到作者的網(wǎng)頁(yè)。  


<?php  
header("Location: http://wilson.gs");  
exit;  
?>  


當(dāng)然，在上述程式之后的 HTML 文字或者是 PHP 程式都永遠(yuǎn)不會(huì)出現(xiàn)在使用者端了。  

同樣的道理，我們就用 header() 來(lái)變使用者認(rèn)證的把戲。可以在 PHP 的最開(kāi)頭送出字串到使用者端，就會(huì)在使用者端出現(xiàn)下圖的視窗。  


<?php  
Header("WWW-Authenticate: Basic realm="Member"");  
Header("HTTP/1.0 401 Unauthorized");  
?>  

在程式中字串 realm="Member" 中的 Member 字樣出現(xiàn)在圖中，當(dāng)然若使用中文字取代，瀏覽器端也會(huì)出現(xiàn)中文字，如上面的 MySEED 圖。若 Web 站臺(tái)使用者還有其它語(yǔ)文，如英文或日文，送出中文的 realm 字串似乎就比較不合適。無(wú)論如何，這都要視站臺(tái)的性質(zhì)及使用者定位而決定。  

當(dāng)然這還是很粗糙，因?yàn)槌�了送出視窗后，就沒(méi)有下文了，帳號(hào)輸入正確也好，輸入錯(cuò)誤也罷，都不會(huì)有任何的結(jié)果。我們需要再更進(jìn)階的程式來(lái)處理。  


在后端的使用認(rèn)證上，考慮使用資料庫(kù)作為儲(chǔ)存帳號(hào)及密碼的后端，在這種架構(gòu)可以容納許多的使用者，管它一萬(wàn)個(gè)使用者還是十萬(wàn)個(gè)使用者。若您的站已有數(shù)十萬(wàn)個(gè)使用者帳號(hào)，那么恭喜您，您的站算是世界級(jí)的大站了。MySQL 是個(gè)不錯(cuò)的選擇，許多站臺(tái)，甚至是商業(yè)化的站臺(tái)都用它來(lái)做后端的資料庫(kù)。當(dāng)然您要架真正的商業(yè)站臺(tái)，錢(qián)不是問(wèn)題的話(huà)，那可以使用口碑最廣的 Oracle 資料庫(kù)系列。  

要在 PHP 中使用任何資料庫(kù)，都要先將資料庫(kù)的伺服器端及客戶(hù)端設(shè)定好，之后才編譯 PHP 及 Apache 系統(tǒng)。  

準(zhǔn)備好 MySQL 及 PHP 之后，先在 MySQL 中加入新的資料庫(kù)，本例是加入mymember，用別的名字當(dāng)然也可以。MySQL 要加入資料庫(kù) (Database) 很容易，只要在MySQL 存放 Database 的地方 mkdir 就可以了。例如在 UNIX Shell 下打  

hahaha:/usr/local/mysql/data# mkdir mymember  

在建立了資料庫(kù)之后，尚需要建立資料表格 (Table) 方能使用。設(shè)定的表格如下，可以將它儲(chǔ)在 /tmp/memberauth.sql 中  


CREATE TABLE MemberAuth (  
Serial mediumint(9) NOT NULL auto_increment,  
Username char(8) NOT NULL,  
Password char(8) NOT NULL,  
Enable char(1) DEFAULT ’0’ NOT NULL,  
PRIMARY KEY (Serial)  
);  

檔案 memberauth.sql  

先看看 memberauth.sql 的這些欄位。Serial 是個(gè)自動(dòng)增加的整數(shù)欄位，每輸入一筆資料，就會(huì)自動(dòng)加一，這當(dāng)然不能是空的欄位，于是就用 NOT NULL 了。第二個(gè)欄位是 Username，代表使用者的帳號(hào)，為了統(tǒng)一以及適應(yīng)各系統(tǒng)起見(jiàn)，設(shè)定成八個(gè)字，當(dāng)然這個(gè)欄位也不能是空的。Password 是第三個(gè)欄位，為使用者的密碼。第四個(gè)欄位 Enable 做為帳號(hào)是否有效的旗標(biāo)，設(shè)計(jì)上 0 表示無(wú)用，1 表可用，日后還可加入其它值做不同的用途。  

設(shè)計(jì)好了資料表之后，就要將資料表加入資料庫(kù)了。由于常要使用 MySQL 資料庫(kù)，可以到 http://www.phpwizard.net/phpMyAdmin 下載 phpMyAdmin，使用瀏覽器操作及管理 MySQL，輕松又方便。若使用這套 phpMyAdmin 可以在它的使用者介面上輸入memberauth.sql 加入 MySQL 中�；蛘咭部梢栽� UNIX Shell 下輸入下式，也是有同樣的效果。  

mysql mymember < /tmp/memberauth.sql  

在準(zhǔn)備好了之后，就可以輸入使用者帳號(hào)及密碼在 memberauth 資料表中了。當(dāng)然還是使用 phpMyAdmin 方便，用 mysql 程式就要一筆筆的 INSERT 了。  

接著進(jìn)入了設(shè)計(jì)函式的階段了。  


<?php  
file://---------------------------  
// 使用者認(rèn)證函式 auth.inc  
// Author: Wilson Peng  
// Copyright (C) 1999  
file://---------------------------  
$error401 = "/home/phpdocs/error/401.php";  
if ($PHP_AUTH_PW=="") {  
Header("WWW-Authenticate: Basic realm="超金卡會(huì)員"");  
Header("HTTP/1.0 401 Unauthorized");  
include($error401);  
exit;  
} else {  

$db_id = mysql_pconnect("localhost", "myid", "mypw");  
$result = mysql_db_query("mymember","select password, enable  
from MemberAuth where username=’$PHP_AUTH_USER’");  

$row = mysql_fetch_array($result);  
$MemberPasswd = $row[0];  
$MemberEnable = $row[1];  
if ($MemberEnable==0) {  
echo "您的帳號(hào)被停用了";  
exit;  
}  

if ($PHP_AUTH_PW!=$MemberPasswd) {  
Header("WWW-Authenticate: Basic realm="超金卡會(huì)員"");  
Header("HTTP/1.0 401 Unauthorized");  
include($error401);  
exit;  
}  
}  
?>  

Copyright (C) 1999, Wilson Peng  

要使用這個(gè) auth.inc，要在每個(gè) PHP 的第一行加入  
<? require("auth.inc"); ?> 。  
在加入本程式的 PHP 檔案都會(huì)檢查帳號(hào)密碼，圖片等就不會(huì)檢查，比起使用 Web 伺服器功能的某目錄下全都檢查，PHP 顯得有彈性多了。  

$error401 = "/home/phpdocs/error/401.php";  

這行表示在使用者按下取消，或檢查失敗時(shí)，要顯示給使用者看的檔案。  

if ($PHP_AUTH_PW=="") {  
Header("WWW-Authenticate: Basic realm="超金卡會(huì)員"");  
Header("HTTP/1.0 401 Unauthorized");  
include($error401);  
exit;  
} else  


到 else 之前，若沒(méi)有傳入密碼，則送出輸入密碼的視窗。其中的  
$PHP_AUTH_USER、$PHP_AUTH_PW 是 PHP 中特殊的變數(shù)，分別代表使用者確認(rèn)的帳號(hào)及密碼。上面的程式也是利用這二個(gè)變數(shù)來(lái)處理使用者認(rèn)證。  

$db_id = mysql_pconnect("localhost", "myid", "mypw");  
$result = mysql_db_query("mymember","select password, enable from  
MemberAuth where username=’$PHP_AUTH_USER’");  

$row = mysql_fetch_array($result);  
$MemberPasswd = $row[0];  
$MemberEnable = $row[1];  

若使用者有輸入帳號(hào)及密碼，則向資料庫(kù)查詢(xún)。同時(shí)查核該使用者是否仍可使用。  

if ($MemberEnable==0) {  
echo "您的帳號(hào)被停用了";  
exit;  
}  

上四行程式為帳號(hào)被停用的情形。  

if ($PHP_AUTH_PW!=$MemberPasswd) {  
Header("WWW-Authenticate: Basic realm="超金卡會(huì)員"");  
Header("HTTP/1.0 401 Unauthorized");  
include($error401);  
exit;  
}  

密碼錯(cuò)誤則再次向使用者要求輸入帳號(hào)及密碼。  

在實(shí)際使用時(shí)，可以視需要加入的網(wǎng)頁(yè)再加入 auth.inc 這個(gè)檔案，就不用連看張圖形也要查一次密碼，降低伺服器和使用者二端的資源。當(dāng)然，和 MySQL 的連系上，可以使用 mysql_pconnect() 一直和 MySQL 伺服器連線(xiàn)�；蚴鞘褂胢ysql_connect() 每次重新連線(xiàn)，用這個(gè)函式要記得早點(diǎn)使用 mysql_close() 將資料庫(kù)關(guān)閉。下面的程式 auth1.inc 是另一版本的認(rèn)證程式，就是開(kāi)啟連線(xiàn)后馬上關(guān)閉，釋放資源的例子。  


<?php  
file://---------------------------  
// 使用者認(rèn)證函式-1 auth1.inc  
// Author: Wilson Peng  
// Copyright (C) 1999  
file://---------------------------  
$error401 = "/home/phpdocs/error/401.php";  
if ($PHP_AUTH_PW=="") {  
Header("WWW-Authenticate: Basic realm="超金卡會(huì)員"");  
Header("HTTP/1.0 401 Unauthorized");  
include($error401);  
exit;  
} else {  

$db_id = mysql_connect("localhost", "myid", "mypw");  
$result = mysql_db_query("mymember","select password, enable  
from MemberAuth where username=’$PHP_AUTH_USER’");  

$row = mysql_fetch_array($result);  
$MemberPasswd = $row[0];  
$MemberEnable = $row[1];  
mysql_close($db_id);  
if ($MemberEnable==0) {  
echo "您的帳號(hào)被停用了";  
exit;  
}  

if ($PHP_AUTH_PW!=$MemberPasswd) {  
Header("WWW-Authenticate: Basic realm="超金卡會(huì)員"");  
Header("HTTP/1.0 401 Unauthorized");  
include($error401);  
exit;  
}  
}  
?>