詳解cookie驗證的php應(yīng)用的一種SSO解決辦法
近日��,項目中需要接入一個“年久失修”的PHP應(yīng)用,由于系統(tǒng)已經(jīng)建設(shè)多年,并且是信息中心自己的人通過某些工具弄出來的,而且是本人未真正接觸過的PHP寫的,而且跟我們的系統(tǒng)不在同一服務(wù)器上也就是存在跨域的問題�����,想通過客戶端模擬登錄的方式來實現(xiàn),但是總是不成功。
沒辦法�����,只好想盡一切辦法查看頁面源代碼��,然后,找服務(wù)器的php文件,分析。
由于對php不熟悉,加上沒有仔細(xì)看�����,因此,對于找到的登錄頁面的php文件,一開始只是有一個初步的了解,基本上確定是通過cookie來實現(xiàn),實際上真正的驗證機制還有如何驗證都沒有了解清楚�����,急著就開始新的征程�����,結(jié)果屢試屢敗���。
先說一下一開始的實現(xiàn)方式:
最開始
系統(tǒng)中添加一個iframe��,試圖從本地應(yīng)用中給iframe中的遠(yuǎn)程系統(tǒng)的指定頁面的用戶名�����、密碼賦值�����,并模擬“登錄”按鈕的單擊事件��。這個是必定失敗的,因為��,跨域了�����,js一般不能跨域遠(yuǎn)程操作別人的東西����。
然后
本地form的遠(yuǎn)程action。在本地的頁面中新增一個form���,此form中添加上與目標(biāo)系統(tǒng)一樣的登錄界面的內(nèi)容(就是用戶名��、密碼輸入框�����,特別說明的是此應(yīng)用尚沒有驗證碼)��,然后在頁面加載時����,便給form中的元素賦值���,點擊本地頁面的“單點登錄”時��,提交此form�,試圖按照java登錄驗證的模式來實現(xiàn)此php系統(tǒng)的登錄驗證。但是�����,依然���,無法正常登錄�。
接下來
仔細(xì)分析登錄的php文件���。發(fā)現(xiàn)驗證過程其實是通過cookie來實現(xiàn)的���,依稀記得早期的很多BBS都是這種方式。找相關(guān)人員通過各種途徑�����,大體了解了登錄驗證的機制及過程�����,原來是在登錄之后,將信息寫入cookie���,每個頁面都會引入一個通過讀取cookie并根據(jù)cookie的內(nèi)容進(jìn)行判斷的php文件。這樣了解了驗證機制����。于是,想要通過跨域?qū)慶ookie的方式來實現(xiàn)�����,由于本身的應(yīng)用是portal應(yīng)用�,因此,寫跨域應(yīng)用也費了一些勁��,最終��,寫本地cookie沒問題�,但是跨域的cookie,連想都不用想����,生成不了。
最后
分析php的登錄界面�����,發(fā)現(xiàn)之所以每次定向的登錄php文件,在進(jìn)行驗證的時候����,都有一個if(isset($submit) and $submit=="登錄")這樣的判斷,不是特別明白這句是什么意思�,isset貌似是判斷參數(shù)是否為空,而后面則判斷參數(shù)值為“登錄”����!由于本人php水平太低,不知道這樣的判斷有何作用�,是否能夠執(zhí)行。最終���,只能跟客戶討論是否可以通過在服務(wù)端新增一個專門用于接收單點登錄需要的php文件����。只是把原來的登錄用的php文件做了修改�����,去掉這些判斷��,并且原來的登錄在驗證之后,跳轉(zhuǎn)到的目標(biāo)頁面是通過從地址欄獲取的信息來進(jìn)行跳轉(zhuǎn)的����,因此,對此部分內(nèi)容也進(jìn)行了調(diào)增����。這樣�����,最終形成了以下的ssologon.php文件
?php require($DOCUMENT_ROOT."/db.inc");
$dbh=db_connect();
if(!$dbh) die("mysql connect failed. please wait to retry...");
$sql="select * from user_code where ((user_name='$username') and (user_password='$password'))";
$result=mysql_query($sql,$dbh);
if(!$result) die("mysql system error, please connact with admin");
$num=mysql_num_rows($result);
if($num1){ //not such a man
db_close($dbh);
echo "$header 姓名或者密碼錯誤 $footer";
exit;
}
else{ //驗證通過,設(shè)置cookie
$row=mysql_fetch_object($result);
db_close($dbh);
$temp=$row->user_id."*".$row->user_cnname."*".$row->user_password;
$ret=setcookie("WEBOAUSER","$temp");
echo "meta http-equiv='refresh' content='0;url=http://192.168.1.4/uuu/default.php'>";
exit;
}
?>
然后�����,把本地應(yīng)用中的form的action指定為此php文件����,搞定!
總結(jié)����,對于需要分析別人的東西才能搞定的事情,一定不能過于焦躁�����,要仔細(xì),了解原理����,才能事半功倍。
如有疑問請留言或者到本站社區(qū)交流討論�,感謝閱讀,希望能幫助到大家��,謝謝大家對本站的支持�����!
您可能感興趣的文章:- PHP與JavaScript針對Cookie的讀寫��、交互操作方法詳解
- PHP利用Cookie設(shè)置用戶30分鐘未操作自動退出功能
- PHP中Cookie的使用詳解(簡單易懂)
- php及codeigniter使用session-cookie的方法(詳解)
- PHP如何讀取由JavaScript設(shè)置的Cookie
- PHP設(shè)置Cookie的HTTPONLY屬性方法
- php cookie用戶登錄的詳解及實例代碼
- php頁面跳轉(zhuǎn)session cookie丟失導(dǎo)致不能登錄等問題的解決方法
- php cookie 詳解使用實例
- PHP Cookie學(xué)習(xí)筆記
- PHP中cookie知識點學(xué)習(xí)
