Web访问控制

本文涉及的产品
访问控制,不限时长
简介: 最近某婚介公司的实习生赵大胖的领导姚无发给赵大胖安排了一个任务:给网站加上访问控制,游客不能访问看到美女的资料,只有注册的会员才能浏览。赵大胖一时没有很好的思路,然后找到了研发组大佬老郑头。

最近某婚介公司的实习生赵大胖的领导姚无发给赵大胖安排了一个任务:

给网站加上访问控制,游客不能访问看到美女的资料,只有注册的会员才能浏览

赵大胖一时没有很好的思路,然后找到了研发组大佬老郑头。

老郑头毕竟是在web开发领域混迹了多年的老泥鳅了,对这块还算是比较了解。但是为了在小弟面前显摆显摆,就跺着八字步走到了阳台,颤抖着点燃一支烟,放到嘴边狠狠抽了一口,长长的吐出一口气之后,凝望着远方,深邃地说:

  • 请求头auth 认证
  • session 控制

然后在赵大胖充满崇拜的眼神中,缓缓的消失了,一片云雾缭绕,深藏功与名。


请求头auth认证

HTTP认证原理

赵大胖根据自己曾经在学校来一桶图书馆学到的知识,想起了一段关于HTTP协议的故事。

通信双方通过HTTP协议这门统一的“语言”进行交流。客户端发送一个http请求,服务器端根据http协议解析请求,然后按照http协议格式生成响应内容,反馈给客户端。以此来完成一轮“交流”。

想到这,赵胖子立刻着手模拟了一下,来验证自己的想法。然后用客户端浏览器发送了一个http请求。赵大胖很明白,虽然在浏览器中输入的仅仅是一个URL,但是实际上浏览器底层做了很多的工作。

URL: http://localhost/learn/accesscontrol/http.php

GET /learn/accesscontrol/http.php HTTP/1.1
Host: localhost
Connection: keep-alive
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/59.0.3071.86 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8
Accept-Encoding: gzip, deflate, br
Accept-Language: zh-CN,zh;q=0.8

然后服务器端通过检测请求头的Authorization字段,判断客户端是否属于会员客户,然后给予不同的响应。

  • 如果是会员客户:(正常反馈即可)
HTTP/1.1 200 OK
Date: Thu, 13 Jul 2017 07:26:03 GMT
Server: Apache/2.4.25 (Win64) PHP/7.1.3
X-Powered-By: PHP/7.1.3
Content-Length: 78
Keep-Alive: timeout=5, max=100
Connection: Keep-Alive
Content-Type: text/html; charset=UTF-8
  • 如果是游客:(友情的提示认证未通过)
HTTP/1.1 401 Unauthorized
Date: Thu, 13 Jul 2017 07:23:37 GMT
Server: Apache/2.4.25 (Win64) PHP/7.1.3
X-Powered-By: PHP/7.1.3
WWW-Authenticate: Basic realm='PHP Secured'
Content-Length: 12
Keep-Alive: timeout=5, max=100
Connection: Keep-Alive
Content-Type: text/html; charset=UTF-8

字段剖析

虽然大致流程明白了,但是赵大胖最近吃的油水太多,记忆力严重下降,尤其是看到

Authorization: Basic emhhbmdzYW46emhhbmdzYW4=
和
WWW-Authenticate: Basic realm='PHP Secured'

这段描述,但是鉴于不好意思再去问老郑头,就只能去问谷哥了,谷哥还是那么帅,“有求必应”,只需要在浏览器中输入正确的关键字,谷哥立马就给了回复,这让忧郁的赵大胖感到一丝慰藉。

原来,Authorization头就是一个base64编码了的用户名密码的字符串啊。编码前的格式为

"username:password"

虽然base64编码后的字符串乍看起来让赵大胖无解,但是赵大胖知道,对付这种小菜,会非常的容易。服务器接收到客户端带有认证的请求头后就会进行解析,判断系统有没有这个用户,身份不合法的话就会再次发送

HTTP/1.1 401 Authorization Required

再次让客户端输入正确的信息,直到认证成功。认证成功后浏览器将记住用户名密码,自动向请求 同域 重新发送将来的请求。

实战http认证

明白了这些,赵大胖拍了拍自己鼓囊囊的大肚子,顺便捋了捋原本就不多的头发,开始噼里啪啦的敲起了跟随多年的键盘,不一会儿便写完了。正好领导姚无发路过,赵大胖拉着领导的手,演示起了自己的Demo。

http.php

<?php
/**
 * @Author: 郭 璞
 * @File: http.php
 * @Time: 2017/7/13
 * @Contact: 1064319632@qq.com
 * @blog: http://blog.csdn.net/marksinoberg
 * @Description: 通过HTTP的Authenticate 进行访问控制。
 **/

// 合法的用户,可以是存储在数据库中或者其他的存储介质中。
$users = [
    "zhangsan" => "zhangsan",
    "lisi" => "lisi",
    "wangwu" => "wangwu",
    "zhaoliu" => "zhaoliu"
];

if(!isset($_SERVER['PHP_AUTH_USER'])) {
    header("HTTP/1.1 401 Unauthorized");
    header("WWW-Authenticate: Basic realm='PHP Secured'");
    exit("Unauthorized");
}

if($users[$_SERVER['PHP_AUTH_USER']] != $_SERVER['PHP_AUTH_PW']) {
    header("HTTP/1.1 401 Unauthorized");
    header("WWW-Authenticate: Basic realm='PHP Secured'");
    exit("Unauthorized");
}

echo "You are credentials were:<br/>";
echo "Username: ".$_SERVER['PHP_AUTH_USER']."<br />";
echo "Password: ".$_SERVER['PHP_AUTH_PW']."<br />";

?>

浏览器演示

赵大胖第一次输入了:zhangsan123456这么个错误的认证。服务器也很听话,发现身份不合法,就非得让赵大胖输入合法的信息,才放行。于是赵大胖第二次输入了:zhangsan, zhangsan。这才认证通过。

浏览器端http认证演示

其他方式

领导姚无发看了看说:浏览器只是客户端的一种,万一有用户用的不是浏览器呢?

赵大胖略微想了想,又写下了代码版访问。

# coding: utf8

import requests

username = "zhangsan"
password = "zhansgsan"

url = "http://localhost/learn/accesscontrol/http.php"

# response = requests.get(url=url, auth=(username, password))
response = requests.get(url=url)
print(response.status_code)

print(response.text)

其他方式http认证示例


领导姚无发心想,赵大胖这小子可以啊,这么快就完成了。看来公司这次招聘抓到宝了。不行,我得再考考他。于是仍然面不改色的说:http认证是个好办法,你还有没有其他实现呢?


session控制

赵大胖打着自己的小算盘,心想:哼╭(╯^╰)╮,还想为难我,俺不怕。

然后根据偶像老郑头之前的锦囊妙计,开始了新一轮的编码。

session剖析

赵大胖对于session可是不太了解,不过没关系,还有谷哥嘛。谷哥给出了这样的解释:

会话允许存储一个页面的变量(状态),并在另一个页面中使用它们。在PHP中,会产生一个32位的字符串来标识客户端的会话,然后将这个串传递给浏览器,同时在服务器上产生一个文件并将此会话的ID包括在文件名中。浏览器访问另一个页面的时候,就通过URL查询字符串或者返回cookie的方式告诉服务器它要指定的会话,这样状态便可以畅通无阻了。

“也就是说在一次访问过程中,用户的状态会被保存呗,那这可就方便多了啊”,赵大胖自言自语的说。

实战Session

没有任何艺术细胞的赵大胖不是很擅长前端,于是多花了点时间,仍旧写不出好看的网页。不过还好,功能上算是完成了。

login.php

<?php
/**
 * @Author: 郭 璞
 * @File: login.php
 * @Time: 2017/7/13
 * @Contact: 1064319632@qq.com
 * @blog: http://blog.csdn.net/marksinoberg
 * @Description:
 **/
session_start();


$html = <<< EOD
<form action="secret.php" method="POST">

    <legend>
        用户登录
    </legend>
    <fieldset>
        <label for="username">Username:</label>
        <input type="text" name="username"><br/>
        <br>
        <label for="password">Password:</label>
        <input type="password" name="password"><br/>
        <br>
        <input type="submit" value="登录">
    </fieldset>

</form>
EOD;

// 输出表单
echo $html;

secret.php

<?php
/**
 * @Author: 郭 璞
 * @File: secret.php
 * @Time: 2017/7/13
 * @Contact: 1064319632@qq.com
 * @blog: http://blog.csdn.net/marksinoberg
 * @Description:
 **/

session_start();

$users = [
    "zhangsan" => "zhangsan",
    "lisi" => "lisi",
    "wangwu" => "wangwu",
    "zhaoliu" => "zhaoliu"
];

$username = $_POST['username'];
$password = $_POST['password'];

if(in_array($username, $users)) {
    if($password===$users[$username]) {
        $_SESSION['username'] = $username;
        echo "Welcome <mark>$username </mark>, you can see secret documents now.";
    }else{
        echo "Sorry, Username not match password.<br>Please check it carefully.";
    }
}else{
    echo "Sorry, you are unauthorized.";
}

“每次都得在PHP文件开头写个session_start()还真是有点麻烦呢。”,赵大胖忍不住吐槽了一下。然后迫不及待的又把领导姚无发给叫来了,信誓旦旦的说自己完成了。

session控制演示

还是按照之前的做法,赵大胖先输入了一个非法用户,服务器当然不给通过啦,除非身份合法。于是赵大胖输入了正确的身份信息,服务器这才放行。

session 控制访问权限演示

领导姚无发看了看,嘴角也忍不住向上弯了几度。对赵大胖说:
大胖啊,做的不错,好好干!


下班后,赵大胖非要请老郑头吃饭,来答谢老郑头的锦囊妙计,二人勾肩搭背,坐在街边大排档,喝着冰镇的啤酒,吃着烤串,真是好不热闹… …

                                               the end.
相关实践学习
消息队列+Serverless+Tablestore:实现高弹性的电商订单系统
基于消息队列以及函数计算,快速部署一个高弹性的商品订单系统,能够应对抢购场景下的高并发情况。
云安全基础课 - 访问控制概述
课程大纲 课程目标和内容介绍视频时长 访问控制概述视频时长 身份标识和认证技术视频时长 授权机制视频时长 访问控制的常见攻击视频时长
目录
相关文章
|
10月前
|
存储 Apache 文件存储
在Apache环境下为Web网站增设访问控制:实战指南
在Apache服务器上保护网站资源涉及启用访问控制模块(`mod_authz_core`和`mod_auth_basic`),在`.htaccess`或`httpd.conf`中设定权限,如限制对特定目录的访问。创建`.htpasswd`文件存储用户名和密码,并使用`htpasswd`工具管理用户。完成配置后重启Apache服务,访问受限目录时需提供有效的用户名和密码。对于高安全性需求,可考虑更复杂的认证方法。【6月更文挑战第20天】
628 4
|
10月前
|
安全 Ubuntu 应用服务中间件
NGINX环境下实现Web网站访问控制的实战指南
在NGINX中设置基于IP的访问控制可提升网站安全性。步骤包括安装NGINX、备份配置文件、编辑`/etc/nginx/sites-available/default`,添加`allow`和`deny`指令限制特定IP访问,如`allow 192.168.1.100; deny all;`,然后测试配置并重启服务。成功后,仅允许的IP能访问网站,否则会收到403错误。这为Web安全提供基础保障,还可扩展实现更多高级控制策略。【6月更文挑战第20天】
916 3
|
安全 网络安全 数据安全/隐私保护
IIS安全:配置web服务器权限更好地实现访问控制
IIS安全:配置web服务器权限更好地实现访问控制
1524 1
|
Apache 开发工具 数据安全/隐私保护
|
Apache 数据安全/隐私保护 安全
|
5月前
|
安全 网络安全 数据安全/隐私保护
访问控制列表(ACL)是网络安全中的一种重要机制,用于定义和管理对网络资源的访问权限
访问控制列表(ACL)是网络安全中的一种重要机制,用于定义和管理对网络资源的访问权限。它通过设置一系列规则,控制谁可以访问特定资源、在什么条件下访问以及可以执行哪些操作。ACL 可以应用于路由器、防火墙等设备,分为标准、扩展、基于时间和基于用户等多种类型,广泛用于企业网络和互联网中,以增强安全性和精细管理。
709 7
|
5月前
|
安全 网络安全 数据安全/隐私保护
访问控制列表(ACL)是网络安全管理的重要工具,用于定义和管理网络资源的访问权限。
访问控制列表(ACL)是网络安全管理的重要工具,用于定义和管理网络资源的访问权限。ACL 可应用于路由器、防火墙等设备,通过设定规则控制访问。其类型包括标准、扩展、基于时间和基于用户的ACL,广泛用于企业网络和互联网安全中,以增强安全性、实现精细管理和灵活调整。然而,ACL 也存在管理复杂和可能影响性能的局限性。未来,ACL 将趋向智能化和自动化,与其他安全技术结合,提供更全面的安全保障。
334 4
|
6月前
|
网络协议 网络虚拟化 数据安全/隐私保护
访问控制列表(ACL)配置
访问控制列表(ACL)配置
109 1
访问控制列表(ACL)配置

热门文章

最新文章

下一篇
oss创建bucket