Page 174 - 4636
P. 174
10 РЕАЛІЗАЦІЯ АУТЕНТИФІКАЦІЇ ЗА ДОПОМОГОЮ РНР І MYSQL
У цій лекції ми обговоримо реалізацію різних технологій, що використовують механізми РНР і
Mysql, для аутентифікації користувачів. У лекції розглянуто такі теми.
10.1 Ідентифікація відвідувачів
Інтернет — це досить анонімне середовище, однак часто корисно знати, хто конкретно
переглядає ваш сайт. На щастя для конфіденційності відвідувачів, без їхнього сприяння можна
одержати тільки дуже незначну інформацію.
Однак без особливих зусиль сервери можуть одержати досить багато інформації про з'єднані з
ними комп'ютери і мережі. Звичайно веб-браузер ідентифікує себе, указуючи свій тип, версію й
операційну систему, під керуванням якої він виконується. А за допомогою Javascript можна визначити
дозвіл і глибину кольору, установлені на моніторах відвідувачів, а також розміри вікон браузера.
Кожний підключений до Інтернету комп'ютер має унікальну Ip-адресу. З Ip-адреси відвідувача
можна витягти певну інформацію. Можна довідатися, про власника цієї адреси, а іноді, можна
визначити географічне місце розташування відвідувача. Одні адреси надають більшу інформацію, ніж
інші.
В основному користувачі, які використовують постійні підключену до Інтернету, мають постійні
Ip-адреси, а клієнти, які користуються підключеннями, що комутуються, у більшості випадків
одержують у тимчасове користування одну з Ір-адрес постачальника. Наступного разу ця адреса може
використовуватися іншим комп'ютером, і коли ви побачите користувача, який відвідував сайт раніше,
у нього, можливо, буде інша Ip-адресу.
На щастя для користувачів Інтернету, ніяка інформація, яку видає браузер, не дозволяє
встановити особистість користувача. Якщо прагнете з'ясувати ім'я відвідувача й інші відомості, прийде
запит на дозвіл.
Багато веб-сайтів змушують користувачів надавати про себе інформацію. Наприклад, доступ до
безкоштовної електронної версії газети New York Times надається тільки тим, хто згідний повідомити
про себе такі відомості як ім'я, стать і загальний сімейний дохід. Сайт новин і дискусій Slashdot
(http://www.slashdot.org)дозволяє зареєстрованим користувачам брати участь у дискусіях під
псевдонімами й набудовувати для себе інтерфейс сайту. Більшість сайтів електронної комерції
записують відомості про своїх клієнтів при оформленні першого замовлення. Це означає, що в
кожному майбутньому замовленні покупцеві не доведесьтя заново вводити інформацію про себе.
Одержавши у відповідь інформацію про відвідувача, її необхідно якимось чином зв'язати з
відвідувачем при його наступних відвідуваннях сайту. Якщо припустити, що з певного комп'ютера й з
певним користувацьким іменем на сайт заходить тільки один користувач, а кожний користувач працює
тільки на одному комп'ютері, то для ідентифікації користувача можна створити cookie-набір на
комп'ютері користувача.
Однак для більшості користувачів подібне припущення неправильне. Часто багато з людей
спільно користуються одним комп'ютером, а багато використовують кілька комп'ютерів. Принаймні,
іноді доводиться повторно запитувати користувача про те, хто він такий. Крім того, прийде запит
відвідувачу надати певні докази того, що він той, за кого себе видає.
Як було сказано раніше, пропозиція користувачеві підтвердити свою особистість називається
аутентифікацією (authentication). Звичайний метод аутентифікації на веб-сайтах пропонує
відвідувачам надати унікальне користувацьке ім'я й пароль. Аутентифікація звичайно служить для
дозволу або заборони доступу до певних сторінок або ресурсів. Аутентифікація може бути
необов'язковою або служити для інших цілей, наприклад, персоналізації сайту.
171
