項(xiàng)目二

安全的登錄認(rèn)證Web安全與防護(hù)本任務(wù)要點(diǎn)學(xué)習(xí)目標(biāo)登錄認(rèn)證步驟登錄頁(yè)面表單創(chuàng)建驗(yàn)證碼實(shí)現(xiàn)熟悉登錄認(rèn)證原理及實(shí)現(xiàn)方法。能夠?qū)崿F(xiàn)基本的登錄認(rèn)證功能。任務(wù)一

登錄認(rèn)證功能實(shí)現(xiàn)目錄CONTENTS01/了解登錄認(rèn)證02/創(chuàng)建登錄頁(yè)面03/判斷登錄狀態(tài)04/增加驗(yàn)證碼了解登錄認(rèn)證01什么是登錄認(rèn)證？登錄認(rèn)證是在Web應(yīng)用程序中實(shí)現(xiàn)身份驗(yàn)證和授權(quán)的過(guò)程。在用戶嘗試登錄到Web應(yīng)用程序時(shí)，登錄認(rèn)證將驗(yàn)證用戶的身份并授予相應(yīng)的訪問(wèn)權(quán)限。通常，登錄認(rèn)證包括兩個(gè)步驟：身份驗(yàn)證和授權(quán)。身份驗(yàn)證是確定用戶是否是所聲稱的用戶的過(guò)程。通常，在Web應(yīng)用程序中，這是通過(guò)用戶名和密碼的組合來(lái)驗(yàn)證用戶的身份。用戶提供用戶名和密碼，然后Web應(yīng)用程序?qū)z查這些憑據(jù)是否與已知的憑據(jù)匹配。如果驗(yàn)證成功，用戶就被認(rèn)為是合法用戶。授權(quán)是在確定用戶的身份后確定用戶的訪問(wèn)權(quán)限。授權(quán)通?；谟脩舻纳矸莺徒巧_定用戶可以訪問(wèn)哪些資源。授權(quán)可以限制用戶訪問(wèn)特定頁(yè)面、數(shù)據(jù)或功能。了解登錄認(rèn)證01驗(yàn)證用戶

憑據(jù)創(chuàng)建登錄頁(yè)面確認(rèn)用戶

權(quán)限登錄狀態(tài)存儲(chǔ)在Web應(yīng)用程序中，常用的身份驗(yàn)證方法包括基于用戶密碼的身份驗(yàn)證、基于證書的身份驗(yàn)證、基于令牌的身份驗(yàn)證等。這些方法各有優(yōu)缺點(diǎn)，根據(jù)應(yīng)用程序的需求和安全要求選擇合適的身份驗(yàn)證方法非常重要。頁(yè)面允許用戶輸入他們的用戶名和密碼使用數(shù)據(jù)庫(kù)中存儲(chǔ)的憑據(jù)信息根據(jù)用戶的角色和訪問(wèn)權(quán)限確定用戶的訪問(wèn)權(quán)限后續(xù)頁(yè)面訪問(wèn)時(shí)可以使用此狀態(tài)進(jìn)行授權(quán)創(chuàng)建登錄頁(yè)面02在實(shí)現(xiàn)登錄認(rèn)證的第一步是創(chuàng)建登錄頁(yè)面，該頁(yè)面允許用戶輸入他們的用戶名和密碼。通過(guò)HTML代碼創(chuàng)建用于用戶輸入的基本表單包含：用戶名輸入框密碼輸入框驗(yàn)證碼輸入框登錄按鈕

通過(guò)按提交按鈕將用戶輸入的信息發(fā)送至check.php頁(yè)面檢查用戶輸入是否正確。完整代碼見(jiàn)教材2.1.2admin/login.php判斷登錄狀態(tài)03為了防止未授權(quán)訪問(wèn)，用戶在訪問(wèn)index.php時(shí)應(yīng)該判斷用戶是否登錄并且為管理員用戶。在博客系統(tǒng)中admin/index.php中增加如下代碼：該代碼的功能是引入admin/header.php文件。我們?cè)谠撐募信袛嗟卿浻脩羰欠駷楣芾韱T，如果不為管理就跳轉(zhuǎn)到登錄頁(yè)防止非管理員訪問(wèn)后臺(tái)頁(yè)面。代碼如下：完整代碼見(jiàn)教材2.1.3當(dāng)$_SESSION['is_admin']為False的時(shí)候說(shuō)明用戶不為管理員則跳轉(zhuǎn)到admin/login.php頁(yè)面強(qiáng)制要求登錄才能訪問(wèn)。admin/index.phpadmin/header.php判斷登錄狀態(tài)03完整代碼見(jiàn)教材2.1.3admin/check.php增加對(duì)用戶提交表單信息的校驗(yàn)，以確認(rèn)用戶身份信息是否正確，首先從請(qǐng)求中獲取用戶輸入的用戶名、密碼以及驗(yàn)證碼首先獲取了用戶通過(guò)表單提交的用戶名和密碼，并進(jìn)行了初步的驗(yàn)證，如果其中有任意一個(gè)為空，則直接輸出錯(cuò)誤提示信息并跳轉(zhuǎn)回登錄頁(yè)面。然后獲取了用戶通過(guò)表單提交的驗(yàn)證碼，并將其轉(zhuǎn)換為小寫形式并對(duì)驗(yàn)證碼進(jìn)行驗(yàn)證，如果為空或不正確，則輸出錯(cuò)誤提示信息并跳轉(zhuǎn)回登錄頁(yè)面。接下來(lái)將用戶輸入的密碼進(jìn)行了MD5加密。通過(guò)SQL語(yǔ)句查詢數(shù)據(jù)庫(kù)，以檢查用戶名是否存在。如果存在，則再次查詢數(shù)據(jù)庫(kù)，以檢查用戶名和密碼是否匹配。如果匹配成功，則將會(huì)話中的$is_admin變量設(shè)置為true，并輸出登錄成功提示信息，并跳轉(zhuǎn)到主頁(yè)面。如果匹配失敗，則輸出相應(yīng)的錯(cuò)誤提示信息，并跳轉(zhuǎn)回登錄頁(yè)面。增加驗(yàn)證碼04驗(yàn)證碼（CAPTCHA）是一種計(jì)算機(jī)程序，用于判斷訪問(wèn)網(wǎng)站的用戶是否是人類或惡意程序。驗(yàn)證碼系統(tǒng)可以生成不同類型的圖形、文字或聲音的測(cè)試來(lái)識(shí)別用戶身份，以幫助網(wǎng)站防止自動(dòng)化攻擊和濫用。驗(yàn)證碼根據(jù)使用的技術(shù)和實(shí)現(xiàn)方式的不同，可以分為以下幾種類型：圖像驗(yàn)證碼數(shù)學(xué)計(jì)算驗(yàn)證碼聲音驗(yàn)證碼滑動(dòng)驗(yàn)證碼驗(yàn)證碼的主要目的是保護(hù)網(wǎng)站和用戶的信息免受惡意攻擊和濫用。許多自動(dòng)化攻擊和濫用都是通過(guò)機(jī)器人和腳本來(lái)進(jìn)行的，這些腳本可以自動(dòng)化訪問(wèn)網(wǎng)站并進(jìn)行各種活動(dòng)，例如發(fā)送垃圾郵件、惡意軟件分發(fā)、網(wǎng)絡(luò)爬蟲等等。增加驗(yàn)證碼04以圖像驗(yàn)證碼為例增加驗(yàn)證碼功能，防止惡意程序攻擊。在博客系統(tǒng)源文件admin/login.php中增加如下代碼：admin/login.php在用戶訪問(wèn)該頁(yè)面時(shí)去請(qǐng)求admin/code.php頁(yè)面，獲取一個(gè)新的驗(yàn)證碼。在博客系統(tǒng)源文件admin/code.php中實(shí)現(xiàn)了如下邏輯：

首先，通過(guò)調(diào)用random()函數(shù)生成一個(gè)4位隨機(jī)字符串，用于作為驗(yàn)證碼。然后，定義了驗(yàn)證碼圖片的寬度和高度，以及需要?jiǎng)?chuàng)建的圖層的圖片格式為image/png。接著，創(chuàng)建一個(gè)指定大小的圖層，設(shè)置背景色、模糊點(diǎn)顏色和字體顏色。通過(guò)隨機(jī)繪制許多點(diǎn)來(lái)創(chuàng)建背景的模糊效果。使用imagestring函數(shù)將驗(yàn)證碼字符串繪制到圖像上，同時(shí)在圖像周圍繪制矩形。最后，輸出圖像并銷毀圖層對(duì)象，將驗(yàn)證碼字符串存儲(chǔ)到PHPSession變量$_SESSION['vertify']中以供后續(xù)驗(yàn)證使用。完整代碼見(jiàn)教材2.1.4課堂實(shí)踐一、任務(wù)名稱：登錄認(rèn)證功能實(shí)現(xiàn)二、任務(wù)內(nèi)容：編輯博客系統(tǒng)源碼實(shí)現(xiàn)登錄認(rèn)證功能，包含表單頁(yè)面中用戶名、密碼、驗(yàn)證碼的交互以及后端校驗(yàn)邏輯。三、工具需求：PHP開(kāi)發(fā)環(huán)境四、任務(wù)要求：完成實(shí)踐練習(xí)后，由老師檢查完成情況。課堂思考一、服務(wù)端是如何保存用戶登錄狀態(tài)的？二、滑動(dòng)驗(yàn)證碼是怎么實(shí)現(xiàn)的？三、為什么要用MD5加密用戶提交的密碼？四、用戶提交的表單信息為什么存儲(chǔ)在$POST變量中？五、登錄認(rèn)證流程中有哪些可能存在的