php实现网页登录权限

PHP 实现网页登录权限的方法

用户认证流程

创建登录表单，包含用户名和密码输入字段。表单提交后，PHP脚本验证用户凭据。验证通过后，启动会话并存储用户信息。

// login.php
session_start();
if ($_SERVER['REQUEST_METHOD'] == 'POST') {
    $username = $_POST['username'];
    $password = $_POST['password'];

    // 验证逻辑（示例使用硬编码，实际应查询数据库）
    if ($username === 'admin' && $password === 'password') {
        $_SESSION['user'] = $username;
        header('Location: dashboard.php');
        exit;
    } else {
        $error = "Invalid credentials";
    }
}

会话管理

使用PHP内置的session_start()函数管理用户会话。每次页面加载时检查会话状态，未登录用户重定向到登录页。

// auth_check.php
session_start();
if (!isset($_SESSION['user'])) {
    header('Location: login.php');
    exit;
}

密码安全

使用password_hash()创建密码哈希，password_verify()进行验证。避免存储明文密码。

// 注册时哈希密码
$hashed_password = password_hash($plain_password, PASSWORD_DEFAULT);

// 登录时验证
if (password_verify($input_password, $stored_hash)) {
    // 验证成功
}

权限控制

在会话中存储用户角色，通过条件语句控制访问权限。

// admin_page.php
session_start();
if ($_SESSION['role'] !== 'admin') {
    header('HTTP/1.0 403 Forbidden');
    exit;
}

安全增强

实施CSRF防护令牌，设置安全的会话配置。

// 会话安全设置
ini_set('session.cookie_httponly', 1);
ini_set('session.cookie_secure', 1); // 仅HTTPS
ini_set('session.use_strict_mode', 1);

数据库集成

实际应用中应使用预处理语句查询数据库验证用户。

// db_login.php
$stmt = $pdo->prepare("SELECT id, password FROM users WHERE username = ?");
$stmt->execute([$username]);
$user = $stmt->fetch();

if ($user && password_verify($password, $user['password'])) {
    $_SESSION['user_id'] = $user['id'];
}

自动登出机制

设置会话过期时间，定期清理过期会话。

// 设置30分钟过期
$_SESSION['last_activity'] = time();
if (isset($_SESSION['last_activity']) && (time() - $_SESSION['last_activity'] > 1800)) {
    session_unset();
    session_destroy();
}

记住我功能

使用安全cookie实现持久登录，但需注意安全风险。

// 生成记住我令牌
$token = bin2hex(random_bytes(32));
setcookie('remember', $token, time() + 86400 * 30, '/', '', true, true);

以上方法组合使用可构建完整的PHP登录权限系统。实际部署时应根据具体需求调整安全级别，并定期更新依赖库以修复潜在漏洞。