0018.htm

新时代软件教程:操作系统 主页制作 服务器 设计软件 网络技术 编程语言 文字编辑

<html>

<head>
<title>新时代软件教程:操作系统 主页制作 服务器 设计软件 网络技术 编程语言 文字编辑</title>
<meta http-equiv="Content-Type" content="text/html; charset=gb2312">
<style>
<!--
body, table {font-size: 9pt; font-family: 宋体}
a {text-decoration:none}
a:hover {color: red;text-decoration:underline}
.1  {background-color: rgb(245,245,245)}
-->
</style>
</head>
<p align="center"><script src="../../1.js"></script></a>
    <p align="center"><big><strong>Html保持用户状态的多种方法比较</strong></big></p>

<div align="right">---摘自《网易》(文/何啸威)</div>
　　众所周知，html的一个缺点是本身无法保持状态，客户连接服务器获取一个页面后，对服务器而言，此连接就已不存在了，下一页将重新连接。互联网上网站建立以后，一个普遍的需求是能够方便的管理上站用户的帐号信息，以及某些页面针对限定用户开放。如何跟踪用户，目前常用的有以下解决方案： 
<br>
<br>　　＊ 在html的表单中利用隐藏输入域来传递信息，如： 
<br>　　VALUE值即为状态信息，所以每次不同，不可能事先写好，只能通过CGI程序生成HTML页面： 
<br>　　Print " 
<br>　　这样，在下次表单重新提交时可以包含进去。 
<br>　　使用隐藏输入确实是保持状态的一种简单办法，但必须由CGI程序生成页面，如大量使用，速度慢、不易于维护。 
<br>　　
<br>　　＊ 向客户端发送cookie 
<br>　　cookie是一种通过客户端的浏览器本身维持状态（甚至不同会话间）的方法。在浏览器访问站点时，调用set－cookie在客户端建立cookie，它将在以后每次连接到站点时返回给web服务器，从而携带用户ID。但cookie技术在使用中有以下缺陷，这甚至是致命的缺陷：
<br>　　1) cookie由于涉及到用户隐私的争论，所以缺乏广泛的支持，首先，不是所有的浏览器都支持cookie，另外，象IE这样的浏览器出于安全性的考虑，还可以设置屏蔽掉cookie。所以，使用cookie，至少要为客户提供其他选择。 
<br>　　2) cookie缺乏安全保证，如果你的机器被别人使用访问web服务器，浏览器也会同样发送cookie。 
<br>　　
<br>　　＊ 会话ID 
<br>　　会话ID是每个客户在到达web站点时分配的唯一标识，多经由URL自身传递。在有些站点我们可能见到很长，看起来很奇怪的URL，常常是一串数字或字母。也正由于这种方案将URL弄得长且怪，笔者往往不倾向采用此方案，所以也不是本文的主旨。 
<br>
<br>　　＊ 建立服务器端客户文件 
<br>　　这种方案是在服务器端维护一个注册后的在线客户表，利用IP地址等信息来保持客户状态。但这种方案不能独立地解决我们的需求。很简单，如果几个客户使用同一个代理服务器（proxy）来访问web server，那么，在此方案下他们将被视为同一个用户。 
<br>　　
<br>　　＊ htaccess协议 
<br>　　.htaccess实际是系统访问控制文件(ACF)族中的一个。该协议目前为大多数UNIX环境的服务器支持，例如普遍采用的Apache服务器，较为通用（值得一提的是，与此相关的另一个文件为access.conf，还可实现基于主机域名/地址的访问控制）。其优点为： 
<br>　　
<br>　　＊ 控制取决于服务器（当然目前NT除外），客户端极为兼容； 
<br>　　
<br>　　＊ 针对目录保护，可方便灵活地定置； 
<br>　　
<br>　　＊ 弹出窗口式密码校验，简单明了，符合惯例； 
<br>　　
<br>　　＊ 客户注册后，CGI环境变量“REMOTE_USER”即为校验后的客户帐号，在整个保护区访问无需再注册，有效地保持了状态。 
<br>　　.htaccess的具体实施步骤如下： 
<br>　　
<br>　　1、规划目录，将要控制访问的所有文件集中至选定的目录里。 
<br>　　
<br>　　2、在要存取控制目录下建立一个文件，文件名为“.htaccess”，别忘了有一个“.”（以“.”开始的文件名在unix下表示是隐含文件）。文件内容网上的很多地方都没有讲清楚，包括一些ISP提供的示例，也模糊不清。一个经验证的样本如下：
<br>　　AuthUserFile /path/.htpasswd 
<br>　　AuthGroupFile /dev/null 
<br>　　AuthName Information 
<br>　　AuthType Basic 
<br>　　require valid－user 
<br>　　黑体字需根据实际情况替换。其中： 
<br>　　AuthName: 用户认证名，将会在密码检测框中出现，但注意应为一个单词，否则要用引号引起来； 
<br>　　AuthType: 使用的认证方式, 缺省为: Basic； 
<br>　　AuthUserFile: 认证用户口令文件绝对路径，请根据实际替换/path/ 
<br>　　AuthGroupFile: 认证用户组别文件绝对路径 
<br>　　: 标识访问特定目录访问控制段的开始/结束 
<br>require entity1 entity2: 要求认证的内容，entity1可以是user, group; entity2 为认证用户或组名。这一项最需要特殊说明，它可导致几种不同的配置，这正是常常没被说清之处：
<br>　　1) 不配置用户组时, 第二行的用户组别文件可设为：
<br>　　AuthGroupFile /dev/null 
<br>　　要求认证的内容则为：require valid－user
<br>　　这时，管理用户只需配置 .htpasswd文件；
<br>　　也可做限定，如 ： require user admin guest foresee
<br>　　这样，只有指定的用户才能登入。
<br>　　2) 如需配置用户组，首先指定组文件如下：
<br>　　AuthGroupFile /path/.htgroup 
<br>　　要求认证的内容则应为：require group users 
<br>　　而.htgroup文件的一个示例为： 
<br>　　users: admin guest foresee 
<br>　　以上两种搭配是不能混用的，象这样的.htaccess，你是无论如何注册不进去的： 
<br>　　AuthUserFile /path/.htpasswd 
<br>　　AuthGroupFile /dev/null 
<br>　　AuthName Information 
<br>　　AuthType Basic 
<br>　　require group valid－user 
<br>　　
<br>　　3、口令文件.htpasswd示例如下： 
<br>　　shallwe:?W5h9v9KOwKI 
<br>　　foresee:？vZTYLaCW8lI 
<br>　　try:?LuRyE3jcujI 
<br>　　
<br>　　大家一看就知道，它是按照DES算法加密过的。每条记录由帐号和密码组成。在通过下文提供的程序管理前，你可使用web服务器通常提供的htpasswd程序，当然，这需要一个主机的shell帐号，在UNIX命令行状态下，.htaccess文件指定的path中执行以下命令：
<br>　　＃ /var/www/bin/htpasswd －c .htpasswd username 
<br>　　
<br>　　“－c”参数仅在第一次使用，它指明创建.htpasswd文件。username表示要增加的用户名，输入此命令后，系统会提示您输入密码两遍，这个用户就生效了。如果这个用户存在则提示您修改密码。
<br>
<br>　　htpasswd命令必须手工完成，不可能用于管理大量用户的增删。事实上，我们可以通过CGI编程自动管理，通过WWW页面在线添加、删除，限于篇幅，程序清单从略，需要者可与笔者联系。

  </table>
<p align="center"><script src="../../2.js"></script></a>
</body>
</html>