Codeigniter Blog. Step4: Авторизация

На предыдущем шаге было сделано добавление записей в блог, но эта возможность доступна любому с улицы. Необходимо добавить авторизацию для блога, чтобы эта функция была доступна только админу. Для поддержки авторизации будет задействован механизм сессий, который позволяет сохранять массивы данных пользователя между обращнения к разным скриптам. В Codeigniter предусмотрена библиотека, облегчающая работу с эти механизмом. Существуют так же целый ряд готовых решений и библиотек с расширенными возможностями авторизации, но для простейшего блога мы можем написать и сами.

1.

Выведем на главную страницу блога ссылки залогинивания, разлогинивания и добавления записи. Для этого дорабатываем вьюер блога /system/application/views/blog_view.php.

<html> <body> <? foreach ($query-> result() as $row) { echo "<h1> ".$row-> title."</h1> "; echo "<p> ".$row-> body."</p> "; echo anchor('blog/comments/'.$row-> id,'comments'); } echo "<p> ".anchor('admin/login','logon')." "; echo anchor('admin/logoff','logoff')." "; echo anchor('admin/record_add','new record')." </p> "; ?> </body>

2.

создаем контроллер администрирования /system/application/controller/admin.php

<?php class Admin extends Controller { function Admin() { parent::Controller(); $this-> load-> helper('url'); $this-> load-> helper('form'); // подключаем библиотеку поддержки сессий $this-> load-> library('session'); } } ?>

3.

Переносим функцию добавления записей в блог из контроллера блога контроллере /system/application/controller/blog.php
в контроллер администрирования /system/application/controller/admin.php

function record_add() { if (isset($_POST)) if (isset($_POST['title'])) // проверяем были ли отосланы данные формы { $this-> db-> insert('records',$_POST); // записываем данные формы redirect(''); // редирект в начало } else // если данных нет - выводим форму для добавления новой записи в блог $this-> load-> view('record_add'); }

Исправляем вьюер /system/application/views/record_add.php
в нем находим строку:
echo form_open('blog/record_add');
и заменяем ее на
echo form_open('admin/record_add');

4.

Создаем пустую функцию залогинивания в контроллере администрирования /system/application/controller/admin.php

function login() { $this-> load-> view('login'); }

5.

создаем вьюер для залогинивания /system/application/views/login.php.

<html> <head> <title> </title> </head> <body> <? echo form_open('admin/login');?> <input type="text" id="login" name="login" value="guest"/> <input type="text" id="password" name="password" value="guest"/> <input type="submit"/> <? echo form_close(); ?> </body> </html>

6.

Проверяем вывод формы для залогинивания http://ci/admin/login и добавления записи в блог http://ci/admin/record_add

7.

Теперь необходимо перекрыть возможность доступа к функциям администрирования без логина.
для этого дорабатываем конструктор контроллера администрирования /system/application/controller/admin.php

function Admin() { parent::Controller(); $this-> load-> helper('url'); $this-> load-> helper('form'); $this-> load-> library('session'); // проверяем наличие принака залогинивания в сессии // если залогинились - выполняем вызванную функцию if ($this-> session-> userdata('logon') != '') return; // переход к обработке логина if ($this-> uri-> segment(2)==='login') return; // редирект на логин, если залогинивания не было redirect('admin/login'); }

запускаем скрипт добавления записи в блог http://ci/admin/record_add и обнаруживаем, что доступ закрыт - перебрасывает на залогинивание.

8.

Дорабатываем функцию обработки логина

function login() { if (isset($_POST['password'])) // проверяем был ли прислан пароль // проверяем корректность пароля и логина // Ахтунг! В реальном скрипте пароль в явном виде не должен присутствовать. if ($_POST['password']==='guest') if ($_POST['login']==='guest') { $session_data = array('logon' => 'Yes!'); // записываем в сессию признак логона $this-> session-> set_userdata($session_data); redirect(''); // редирект на главную страницу } $this-> load-> view('login'); }

Заходим http://ci/admin/login. Залогиниваемся "guest/guest" снова проверяем добавление записи в блог http://ci/admin/record_add и убеждаемся,что доступ открыт.

9.

Теперь в контроллер администрирования необходимо добавить функцию разлогинивания - выхода из редакторского режима.

function logoff() { $this-> session-> sess_destroy(); // обнуляем сессию redirect(''); // редирект на главную страницу }

вызываем ее в броузере http://ci/admin/logoff происходит уничтожение сессии и редирект на главную страницу.
Снова переходим на страницу добавления записи http://ci/admin/record_add Убеждаемся,что разлогинивание произошло

10.

Все что сделано выложена в папке step4. К этому можно добавить оформление блога. Пример с оформлением находится в папке - step4a

03 September 2008

ключевые слова:

Ссылки на статьи по теме: "

Обсуждение в блоге-форуме тем: ""

guest/guest
талантище! все работает, все понятно

big
да, согласен - талант изложения материала! респект!

www.steklo.biz
Две последние ссылки указывают на один и тот же архив.

Исаак Тынгылчав
В архиве сложены по шагам все исходники.
В директории step1 - первый шаг, step2 - второй шаг и т.д.

Юрий
Столкнулся с проблемой - для blog_view.php css отображается, а для login.php нет ): Пробывал делать через id и через class не получается. В чем может быть причина?

Юрий
Проблема решилась

Александр
Хотелось бы спросить.
При проверке в конструкторе наличие сессии, вы просто пишите return; Далее проверяете сегмент и опять return;
Теперь если человек с установленной сессией обращается к этому классу, то вначале конструктор проверяет и находит сессию, а что дальше то возвращает?

Исаак тынгылчав
А ничего. Просто если в сессии есть признак залогинивания конструктор разрешает использовать другие методы контроллера. Надо было бы всякий раз проверять пароль и логин?

Александр
Да, я думаю это можно решить при помощи создания модели и обращение к ней в конструкторе, если модель возвращает TRUE то разрешаем работу, так ведь?

Исаак Тынгылчав
Модель нужна только для работы с БД. А из нее мы тащим только пароль и логин. После того как пароль проверен отрабатывается только механизм сессии. Он доступен на любом уровне и к модели отношения не имеет.

Исаак Тынгылчав
Я там дал ссылки на phpfaq про сессии. Посмотрите. Там вроде прозрачно все.

Александр
С сессиями никаких вопросов нет, разве что для стандартной библиотека лучше включить криптования кук.
Вам спасибо.

Игорь
У меня вопрос...
А если я захочу держать все файлы контроллеров администрирования здесь /system/application/controller/admin/ как мне тогда организовать авторизацию?

Исаак Тынгылчав
заведите директорию admin. Положите туда контроллеры, например login.php и вызывайте по адресу сайт.ру/admin/login

Игорь
Большое спасибо за ответ. Но меня больше интересовало как защитить от просмотра сразу всю директорию, а не прикручивать к каждому контроллеру администрирования авторизацию?

Исаак Тынгылчав
У вас два вопроса в одном.
Если нужно вынести папку с приложением вообще за корневую директорию смтоите ссылка
Если вопрос про то как обойтись без проверки в каждом модуле авторизации, вспомните про ООП. Можно сделать отдельный класс своего контроллера типа
Class MY_Controller extends Controller
А все остальные контроллеры наследуйте от него. В этот MY_Controller можно заложить и проверку авторизации и все прочее, что будет общим для всех контроллеров. Т.е. Расширяете стандартный контроллер CI до необходимой функциональности.
Есть и другие пути. Но они не короче.

Игорь
Спасибо большое за ответы, а особенно за наследование, как то не догадался. Я третий день как знакомлюсь CI. Не сочтите пожалуйста за наглость но у меня еще один вопрос.))).. такого содержания...
На всех своих проэктах я использовал систему статистики пос. сайта написанную на PHP она состоит из примерно 20-30 файлов + БД все это дело находилось в одной папке. Используя в своих новых проэктах CI я хотелбы использовать и эту статистику, но я не могу понять как мне ее прикрутить. чтобы она была доступна например по адресу сайт.ru/admin/моя_статитика/
Заранее благодарен!

Исаак Тынгылчав
Посмотрите на файл .htaccess там в самом начале стоит перекрытие обработки картинок, js и т.п. Аналогично переопределите в .htaccess обработку файлов из директории со статистикой.

Игорь
Спасибо Вам огромное и успехов ваших проэктах.

фывап
классно написано, но [url=ссылка ] и [url=ссылка ] лучше

артем
если разлогиниться а потом нажать кнопку back в браузере - попадаешь на запароленную страницу!

Исаак тынгылчав.
запароленная страница тащится из кэша броузера.

артем
я это понимаю, знаете как это предатвротить (для всех браузеров)
header("Cache-Control: no-cache, must-revalidate");
header("Expires: Sat, 26 Jul 1997 05:00:00 GMT");
в конструкторе контроллера работает тока в ИЕ, остальным браузерам на это начхать

Исаак Тынгылчав
Совсем не понимаю. Back в броузере вообще не должен вызывать что-то с сервера, а должен тянуть страницу из кэша.
Возможно где-то у вас в каких-то броузерах кэш отключен.
Кстати header может не отрабатываться на криво настроенном прокси.

артем
так, как сделать так чтоб back не возврощал на запароленную страницу?

Андрей
Здраствуйте. Не могли бы вы скинуть содержимое своего файла .htaccess
Никак не могу избавиться от index.php в URL
Заранее спасибо!)

Исаак Тынгылчав
order allow,deny
allow from all
Options -Indexes
RewriteEngine On # добавляем
Options +FollowSymLinks
Options -Indexes
DirectoryIndex index.php
RewriteEngine on
RewriteCond $1 !^(index\.php|images|robots\.txt|public|[0-9a-z_\-]*\.xsl|.*\.xslt)
RewriteCond %{REQUEST_URI} !\.(css¦js¦jpg¦gif)$
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule ^([^~]*)(~*.*)$ /index.php/$1 [L,QSA]

Евгений Зарицкий
Первое что делаем
здесь-> корень\system\application\config\config.php
//удаляем index.php из адреса
$config['index_page'] = "";
Второе что делаем
здесь->
корень\.htaccess
# обращение к директории без указания имени файла.
DirectoryIndex index.php
# определение кодировки, в которой сервер выдает файлы

AddDefaultCharset utf-8
# даём указания (Оn-включение) серверу по дерективе mod_rewrite
RewriteEngine On
RewriteBase /
# убираем с адреса www
RewriteCond %{HTTP_HOST} ^www\.(.*) [NC]
RewriteRule ^/?(.*) ссылка [L,R=permanent]
# убираем с адреса index.php
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule ^(.*)$ index.php/$1 [L]

Евгений Зарицкий
так, как сделать, чтоб back не возврАщал на запароленную страницу?????
у когото есть реальные соображения?????

Евгений Зарицкий
эта тема не раскрыта... я уже бьюсь над етим неделю - вопрос актуален)

Евгений Зерицкий
да..гляжу я что с датой добавления на сайтике есть пробельчики...) админы!!! зовите прогеров !!!!

Le capitaine Nemo
Ну если не задумываясь проверьте js наличие куки. Если ее нет - значит нужно сделать редирект на логин.

Исаак Тынгылчав
Не пугайте. Я четко знаю сегодняшнее число, время года и даже год!
Все совпадает. Вы запулили почлание точно в срок.
К тому же и переделывать здесь все равно не буду. Зачем?

Paha
Options +FollowSymLinks
Options -Indexes
DirectoryIndex index.php
RewriteEngine on
RewriteCond %{REQUEST_FILENAME} !index\.php.*
RewriteRule ^(.*)$ index.php/$1
и нет никаких проблем

Сергей
Битая ссылка:
Пример с оформлением находится в папке - step4a

Виталя
Скажите, а что будет, если не закончив сесиию залогинится еще раз ??
я так понимаю начнется новая сессия, а что с первой ??

алексей
это только у меня, или у всех?
когда по ссылкам логинемся, разлогиневаемся и добавляем запись - все хорошо, а если напрямую в браузере после разлогиневания пишу строку:
"my_site/admin/record_add", то появляется форма для добавления записи, а не форма для ввода пароля.(и только после добавления записи появляется форма логина).в чем тут дело?

shal
Если память мне не изменяет, сессия заканчивается по времени, указанным в файле config.php

Валера
Большое спасибо за предоставленный материал. Почти не встречал настолько доступно изложенного, написанного по сути, с примерами, и самое главное прикладными-работающими примерами материала!!!
Что сказать, одни спасибо )))!!!!!