.. / Codeigniter Blog. Step4: Авторизация
На предыдущем шаге было сделано добавление записей в блог, но эта возможность доступна любому с улицы. Необходимо добавить авторизацию для блога, чтобы эта функция была доступна только админу. Для поддержки авторизации будет задействован механизм сессий, который позволяет сохранять массивы данных пользователя между обращнения к разным скриптам. В Codeigniter предусмотрена библиотека, облегчающая работу с эти механизмом. Существуют так же целый ряд готовых решений и библиотек с расширенными возможностями авторизации, но для простейшего блога мы можем написать и сами.
1.
Выведем на главную страницу блога ссылки залогинивания, разлогинивания и добавления записи. Для этого дорабатываем вьюер блога /system/application/views/blog_view.php.
<html>
<body>
<?
foreach ($query-> result() as $row)
{
echo "<h1> ".$row-> title."</h1> ";
echo "<p> ".$row-> body."</p> ";
echo anchor('blog/comments/'.$row-> id,'comments');
}
echo "<p> ".anchor('admin/login','logon')."
";
echo anchor('admin/logoff','logoff')."
";
echo anchor('admin/record_add','new record')." </p> ";
?>
</body> |
2.
создаем контроллер администрирования /system/application/controller/admin.php
<?php
class Admin extends Controller {
function Admin()
{
parent::Controller();
$this-> load-> helper('url');
$this-> load-> helper('form');
// подключаем библиотеку поддержки сессий
$this-> load-> library('session');
}
}
?> |
3.
Переносим функцию добавления записей в блог из контроллера блога контроллере /system/application/controller/blog.php
в контроллер администрирования /system/application/controller/admin.php
function record_add()
{
if (isset($_POST)) if (isset($_POST['title'])) // проверяем были ли отосланы данные формы
{
$this-> db-> insert('records',$_POST); // записываем данные формы
redirect(''); // редирект в начало
} else // если данных нет - выводим форму для добавления новой записи в блог
$this-> load-> view('record_add');
} |
Исправляем вьюер /system/application/views/record_add.php
в нем находим строку:
echo form_open('blog/record_add');
и заменяем ее на
echo form_open('admin/record_add');
4.
Создаем пустую функцию залогинивания в контроллере администрирования /system/application/controller/admin.php
function login()
{
$this-> load-> view('login');
} |
5.
создаем вьюер для залогинивания /system/application/views/login.php.
<html>
<head>
<title> </title>
</head>
<body>
<? echo form_open('admin/login');?>
<input type="text" id="login" name="login" value="guest"/>
<input type="text" id="password" name="password" value="guest"/>
<input type="submit"/>
<? echo form_close(); ?>
</body>
</html> |
6.
Проверяем вывод формы для залогинивания http://ci/admin/login и добавления записи в блог http://ci/admin/record_add
7.
Теперь необходимо перекрыть возможность доступа к функциям администрирования без логина.
для этого дорабатываем конструктор контроллера администрирования /system/application/controller/admin.php
function Admin()
{
parent::Controller();
$this-> load-> helper('url');
$this-> load-> helper('form');
$this-> load-> library('session');
// проверяем наличие принака залогинивания в сессии
// если залогинились - выполняем вызванную функцию
if ($this-> session-> userdata('logon') != '') return;
// переход к обработке логина
if ($this-> uri-> segment(2)==='login') return;
// редирект на логин, если залогинивания не было
redirect('admin/login');
} |
запускаем скрипт добавления записи в блог http://ci/admin/record_add и обнаруживаем, что доступ закрыт - перебрасывает на залогинивание.
8.
Дорабатываем функцию обработки логина
function login()
{
if (isset($_POST['password'])) // проверяем был ли прислан пароль
// проверяем корректность пароля и логина
// Ахтунг! В реальном скрипте пароль в явном виде не должен присутствовать.
if ($_POST['password']==='guest')
if ($_POST['login']==='guest')
{
$session_data = array('logon' => 'Yes!'); // записываем в сессию признак логона
$this-> session-> set_userdata($session_data);
redirect(''); // редирект на главную страницу
}
$this-> load-> view('login');
} |
Заходим http://ci/admin/login. Залогиниваемся "guest/guest" снова проверяем добавление записи в блог http://ci/admin/record_add и убеждаемся,что доступ открыт.
9.
Теперь в контроллер администрирования необходимо добавить функцию разлогинивания - выхода из редакторского режима.
function logoff()
{
$this-> session-> sess_destroy(); // обнуляем сессию
redirect(''); // редирект на главную страницу
} |
вызываем ее в броузере http://ci/admin/logoff происходит уничтожение сессии и редирект на главную страницу.
Снова переходим на страницу добавления записи http://ci/admin/record_add Убеждаемся,что разлогинивание произошло
10.
Все что сделано выложена в папке step4. К этому можно добавить оформление блога. Пример с оформлением находится в папке - step4a
- phpfaq.ru/sessions#example - Сессии. Подробное описание работы и объяснение механизма. (phpfaq.ru)
- www.realcoding.net/article/view/386 - Сессии в PHP (примеры авторизации)
-
талантище! все работает, все понятно
-
да, согласен - талант изложения материала! респект!
-
Две последние ссылки указывают на один и тот же архив.
-
В архиве сложены по шагам все исходники.
В директории step1 - первый шаг, step2 - второй шаг и т.д. -
Столкнулся с проблемой - для blog_view.php css отображается, а для login.php нет ): Пробывал делать через id и через class не получается. В чем может быть причина?
-
Проблема решилась
-
Хотелось бы спросить.
При проверке в конструкторе наличие сессии, вы просто пишите return; Далее проверяете сегмент и опять return;
Теперь если человек с установленной сессией обращается к этому классу, то вначале конструктор проверяет и находит сессию, а что дальше то возвращает? -
А ничего. Просто если в сессии есть признак залогинивания конструктор разрешает использовать другие методы контроллера. Надо было бы всякий раз проверять пароль и логин?
-
Да, я думаю это можно решить при помощи создания модели и обращение к ней в конструкторе, если модель возвращает TRUE то разрешаем работу, так ведь?
-
Модель нужна только для работы с БД. А из нее мы тащим только пароль и логин. После того как пароль проверен отрабатывается только механизм сессии. Он доступен на любом уровне и к модели отношения не имеет.
-
Я там дал ссылки на phpfaq про сессии. Посмотрите. Там вроде прозрачно все.
-
С сессиями никаких вопросов нет, разве что для стандартной библиотека лучше включить криптования кук.
Вам спасибо. -
У меня вопрос...
А если я захочу держать все файлы контроллеров администрирования здесь /system/application/controller/admin/ как мне тогда организовать авторизацию? -
заведите директорию admin. Положите туда контроллеры, например login.php и вызывайте по адресу сайт.ру/admin/login
-
Большое спасибо за ответ. Но меня больше интересовало как защитить от просмотра сразу всю директорию, а не прикручивать к каждому контроллеру администрирования авторизацию?
-
У вас два вопроса в одном.
Если нужно вынести папку с приложением вообще за корневую директорию смтоите ссылка
Если вопрос про то как обойтись без проверки в каждом модуле авторизации, вспомните про ООП. Можно сделать отдельный класс своего контроллера типа
Class MY_Controller extends Controller
А все остальные контроллеры наследуйте от него. В этот MY_Controller можно заложить и проверку авторизации и все прочее, что будет общим для всех контроллеров. Т.е. Расширяете стандартный контроллер CI до необходимой функциональности.
Есть и другие пути. Но они не короче. -
Спасибо большое за ответы, а особенно за наследование, как то не догадался. Я третий день как знакомлюсь CI. Не сочтите пожалуйста за наглость но у меня еще один вопрос.))).. такого содержания...
На всех своих проэктах я использовал систему статистики пос. сайта написанную на PHP она состоит из примерно 20-30 файлов + БД все это дело находилось в одной папке. Используя в своих новых проэктах CI я хотелбы использовать и эту статистику, но я не могу понять как мне ее прикрутить. чтобы она была доступна например по адресу сайт.ru/admin/моя_статитика/
Заранее благодарен! -
Посмотрите на файл .htaccess там в самом начале стоит перекрытие обработки картинок, js и т.п. Аналогично переопределите в .htaccess обработку файлов из директории со статистикой.
-
Спасибо Вам огромное и успехов ваших проэктах.
-
если разлогиниться а потом нажать кнопку back в браузере - попадаешь на запароленную страницу!
-
запароленная страница тащится из кэша броузера.
-
я это понимаю, знаете как это предатвротить (для всех браузеров)
header("Cache-Control: no-cache, must-revalidate");
header("Expires: Sat, 26 Jul 1997 05:00:00 GMT");
в конструкторе контроллера работает тока в ИЕ, остальным браузерам на это начхать -
Совсем не понимаю. Back в броузере вообще не должен вызывать что-то с сервера, а должен тянуть страницу из кэша.
Возможно где-то у вас в каких-то броузерах кэш отключен.
Кстати header может не отрабатываться на криво настроенном прокси. -
так, как сделать так чтоб back не возврощал на запароленную страницу?
-
Здраствуйте. Не могли бы вы скинуть содержимое своего файла .htaccess
Никак не могу избавиться от index.php в URL
Заранее спасибо!) -
order allow,deny
allow from all
Options -Indexes
RewriteEngine On # добавляем
Options +FollowSymLinks
Options -Indexes
DirectoryIndex index.php
RewriteEngine on
RewriteCond $1 !^(index\.php|images|robots\.txt|public|[0-9a-z_\-]*\.xsl|.*\.xslt)
RewriteCond %{REQUEST_URI} !\.(css¦js¦jpg¦gif)$
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule ^([^~]*)(~*.*)$ /index.php/$1 [L,QSA] -
Первое что делаем
здесь-> корень\system\application\config\config.php
//удаляем index.php из адреса
$config['index_page'] = "";
Второе что делаем
здесь->
корень\.htaccess
# обращение к директории без указания имени файла.
DirectoryIndex index.php
# определение кодировки, в которой сервер выдает файлы
AddDefaultCharset utf-8
# даём указания (Оn-включение) серверу по дерективе mod_rewrite
RewriteEngine On
RewriteBase /
# убираем с адреса www
RewriteCond %{HTTP_HOST} ^www\.(.*) [NC]
RewriteRule ^/?(.*) ссылка [L,R=permanent]
# убираем с адреса index.php
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule ^(.*)$ index.php/$1 [L] -
так, как сделать, чтоб back не возврАщал на запароленную страницу?????
у когото есть реальные соображения????? -
эта тема не раскрыта... я уже бьюсь над етим неделю - вопрос актуален)
-
да..гляжу я что с датой добавления на сайтике есть пробельчики...) админы!!! зовите прогеров !!!!
-
Ну если не задумываясь проверьте js наличие куки. Если ее нет - значит нужно сделать редирект на логин.
-
Не пугайте. Я четко знаю сегодняшнее число, время года и даже год!
Все совпадает. Вы запулили почлание точно в срок.
К тому же и переделывать здесь все равно не буду. Зачем? -
Options +FollowSymLinks
Options -Indexes
DirectoryIndex index.php
RewriteEngine on
RewriteCond %{REQUEST_FILENAME} !index\.php.*
RewriteRule ^(.*)$ index.php/$1
и нет никаких проблем -
Битая ссылка:
Пример с оформлением находится в папке - step4a -
Скажите, а что будет, если не закончив сесиию залогинится еще раз ??
я так понимаю начнется новая сессия, а что с первой ?? -
это только у меня, или у всех?
когда по ссылкам логинемся, разлогиневаемся и добавляем запись - все хорошо, а если напрямую в браузере после разлогиневания пишу строку:
"my_site/admin/record_add", то появляется форма для добавления записи, а не форма для ввода пароля.(и только после добавления записи появляется форма логина).в чем тут дело? -
Если память мне не изменяет, сессия заканчивается по времени, указанным в файле config.php
-
Большое спасибо за предоставленный материал. Почти не встречал настолько доступно изложенного, написанного по сути, с примерами, и самое главное прикладными-работающими примерами материала!!!
Что сказать, одни спасибо )))!!!!! -
Просто произойдет замещение сессии
-
Ну в действии то нету проверки на сессийность, добавь - будет
-
Измените функцию :
function record_add ()
{
if (!isset($_POST['title']))
{
$this->load->view('record_add');
}
else
{
if ($this->session->userdata('isLogin')) {
$this->db->insert('records', $_POST);
redirect('');
}
else
{
echo 'Вы не зарегестрированны';
}
}
}
Должно помочь -
Пользуюсь этим фреймворком уже несколько лет. Удобная справка и вообще хорошо документирован.
Кстати, появилось руководство пользователя на русском для версии 2.0.0
http://codeigniter.su