php培训：session的管理和认证（2）

　　这里分两种情况，如果用户的浏览器不能兼容JavaScript的话，认证工作就象询问嫌疑犯一样，用户名与口令被送往服务器，与存聚刁擞蛔放在那里的数据进行比较。如果用户的浏览器与JavaScript兼容，这就麻烦一些了，PHPLIB首先会在客户端的页面中放入一个用来加密的种子字串，名叫“challenge”，当用户提交该页面时，用户的用户名、口令和challenge字串会使用md5的加密方式进行加密，生成一个加密字串，将该加密字串与用户名提交给服务器。当服务器收到用户名和加密后的字串后，他根据数据库中的用户名与口令和得到的种子进行md5运算，将生成的字串与用户提交的字串进行比较，如果符合的话，说明用户身份是正确的，就允许用户进行随后的访问。这种方法的好处是：用户不用提交密码，这使得认证比较安全。

　　Session 管理

　　其实Session的管理和身份认证非常接近，当一个用户的身份认证过了后，随即用户的session就开始了，如果用户的浏览器支持cookie的话，将会建立一个session的id放入cookie，这个唯一的ID是由PHP3随机生成，然后又用随机种子

　　字串进行md5加密过了的，这里的cookie应该叫做session cookie，因为这个cookie是不会写到用户硬盘里去的，当一个session进行完的时候，该cookie也被完结了。如果用户浏览器不支持cookie的话，那么 该session的id将会放入url链中，因为是加密过的，所以窃取了也没用。session id存放着用户的有关信息，如用户已认证、认证到期时间、用户权限，和其他一些你可能需要的信息，方便我们取用。

Session其实就是用户一次会话的过程。Session的管理并不是仅仅用来跟踪用户的注册，实际上，它还可以脱离认证来使用，你可以用它来存储任何你想要存贮的信息，这些信息可以在用户随后访问的页面中派上用场，当然前提是那些页面要使用PHPLIB。方法很简单，注册一个变量后即可在随后的页面中使用它，直至session结束。方法：

　　< ?php $sess->reGISter( "variable_name"); ?>

　　注意，这里的variable_name不是变量值，而是变量名，可以先指定变量名，随后再赋值。你在某个页面中可以改变变量的值，随后的页面访问该变量时会得到改变后的值。变量的类型是多样的，可以是一个字串，一个数字，一个数组，甚至一个对象。举例来说明：

< ?php$sess->register( "first");if (check($firstname)) {$first = $firstname;}?>

　　注意：这里有一点很重要。你可以先注册一个变量随后再对它赋值，这样非常有效，我们大可以在脚本的任何地方定义变量而不赋值，而在随后的页面中再赋值，这样方便集中定义变量。大家可能注意到了，上面的例子中我们没有简单的对变量赋值，处于安全的考虑，你不应该轻率地将表单数据放入变量。上例中，我们对变量进行了检查，然后才对变量赋值。这是一个很好的习惯。大家应该注意。

　　注册完一个变量，当页面最后调用page_close()函数后，各个session变量会被写回到数据库中，如果你忘记调用page_close()函数的话，变量就不会被写回数据库，将出现不可予知的后果。当变量被使用完毕后，你不在需要用到了，可以调用以下函数将变量删除：

< ?php$sess->unregister( "variable_name");?>

　　PHPLIB 7.0中，使用了一种存储结构，它允许你存储session数据到数据库中、共享内存中或者LDAP中。PHPLIB使用了数据库类，这使得你有了更多的选择。

　　权限管理

　　权限是和认证分不开的。当一个用户的身份被确认以后，你可以接着来确定他的级别及权限。当然，你必须先调用page_open来初始化"perm"对象。检查用户权限的命令如下：

< ?php$perm->check( "permission_level");?>

　　这条命令会检查用户是否符合你指定的级别，指定的级别应在local.inc文件中已经定义好，你可以自己定义各种级别。如果用户被检查出不符合级别。则perm_invalid()函数自动被调用。你可以建立自己的perm_invalid函数。

　　以下是PHPLIB中检查权限的另一种方法：

< ?php$perm->have_perm( "permission_level");?>

　　have_perm与check函数不同，它只返回true或false，但并不退出脚本，这样我们可以更好的控制程序流程。

< ?phpif ($perm->have_perm( "guest")){ //do something; }elseif ($perm->have_perm( "admin")){ //do something else; }else { //yet something else; }?>

　让我们解释一下，当一个用户第一次访问页面时，他的身份未经过认证，PHPLIB会调用一个注册窗口（并非在Windows中的弹出窗口），你可以自己设计注册窗口的样式，当用户输入他的用户名与口令，并按下提交钮后，身份认证工作就开始了，随后的情况有些复杂，让我们慢慢解释……