本节将使用PHP和Redis实现用户注册登录功能,下面分模块来介绍具体实现方法。
1.注册
需求描述:用户注册时需要提交邮箱、登录密码和昵称。其中邮箱是用户的唯一标识,每个用户的邮箱不能重复,但允许用户修改自己的邮箱。
我们使用散列类型来存储用户的资料,键名为user:用户ID。其中用户ID是一个自增的数字,之所以使用 ID 而不是邮箱作为用户的标识是因为考虑到在其他键中可能会通过用户的标识与用户对象相关联,如果使用邮箱作为用户的标识的话在用户修改邮箱时就不得不同时需要修改大量的键名或键值。为了尽可能地减少要修改的地方,我们只把邮箱作为该散列键的一个字段。为此还需要使用一个散列类型的键email.to.id来记录邮箱和用户ID间的对应关系以便在登录时能够通过邮箱获得用户的ID。
用户填写并提交注册表单后首先需要验证用户输入,我们在项目目录中建立一个register.php文件来实现用户注册的逻辑。验证部分的代码如下:
// 设置Content-type以使浏览器可以使用正确的编码显示提示信息,
// 具体的编码需要根据文件实际编码选择,此处是utf-8。
header("Content-type: text/html; charset=utf-8");
if(!isset($_POST['email']) ||
!isset($_POST['password']) ||
!isset($_POST['nickname'])) {
echo '请填写完整的信息。';
exit;
}
$email = $_POST['email'];
// 验证用户提交的邮箱是否正确
if(!filter_var($email, FILTER_VALIDATE_EMAIL)) {
echo '邮箱格式不正确,请重新检查';
exit;
}
$rawPassword = $_POST['password'];
// 验证用户提交的密码是否安全
if(strlen($rawPassword) < 6) {
echo '为了保证安全,密码长度至少为6。';
exit;
}
$nickname = $_POST['nickname'];
//不同的网站对用户昵称有不同的要求,这里不再做检查,即使是空也可以。
// 而后我们需要判断用户提交的邮箱是否被注册了:
$redis = new PredisClient();
if($redis->hexists('email.to.id', $email)) {
echo '该邮箱已经被注册过了。';
exit;
}
验证通过后接下来就需要将用户资料存入Redis中。在存储的时候要记住使用散列函数处理用户提交的密码,避免在数据库中存储明文密码。原因是如果数据库中数据泄露(外部原因或内部原因都有可能),攻击者也无法获得用户的真实密码,也便无法正常地登录进系统。更重要的是考虑到用户很可能在其他网站中也使用了同样的密码,所以明文密码泄露还会给用户造成额外的损失。
除此之外,还要避免使用速度较快的散列函数处理密码以防止攻击者使用穷举法破解密码,并且需要为每个用户生成一个随机的“盐”(salt)以避免攻击者使用彩虹表破解。这里作为示例,我们使用Bcrypt算法来对密码进行散列。PHP 5.3中提供的crypt函数支持Bcrypt算法,我们可以实现一个函数来随机生成盐并调用crypt函数获得散列后的密码:
function bcryptHash($rawPassword, $round = 8)
{
if ($round < 4 || $round > 31) $round = 8;
$salt = '$2a$' . str_pad($round, 2, '0', STR_PAD_LEFT) . '$';
$randomValue = openssl_random_pseudo_bytes(16);
$salt .= substr(strtr(base64_encode($randomValue), '+', '.'), 0, 22);
return crypt($rawPassword, $salt);
}
提示 openssl_random_pseudo_bytes函数需要安装OpenSSL扩展。
之后使用如下代码获得散列后的密码:
$hashedPassword = bcryptHash($rawPassword);
存储用户资料就很简单了,所有命令都在第3章介绍过了。代码如下:
require './predis/autoload.php';
$redis = new PredisClient();
// 首先获取一个自增的用户ID
$userID = $redis->incr('users:count');
// 存储用户信息
$redis->hmset("user:{$userID}", array(
'email' => $email,
'password' => $hashedPassword,
'nickname' => $nickname
));
// 记得记录下邮箱和用户ID的对应关系
$redis->hset('email.to.id', $email, $userID);
// 提示用户注册成功
echo '注册成功!';
大部分情况下在注册时我们需要验证用户的邮箱,不过这部分的逻辑与忘记密码部分相似,所以在这里不做更多的介绍。
2.登录
需求描述:用户登录时需要提交邮箱和登录密码,如果正确则输出“登录成功”,否则输出“用户名或密码错误”。
当用户提交邮箱和登录密码后首先通过email.to.id键获得用户ID,然后将用户提交的登录密码使用同样的盐进行散列并与数据库存储的密码比对,如果一样则表示登录成功。我们新建一个login.php文件来处理用户的登录,处理该逻辑的部分代码如下:
header("Content-type: text/html; charset=utf-8");
if(!isset($_POST['email']) ||
!isset($_POST['password'])) {
echo '请填写完整的信息。';
exit;
}
$email = $_POST['email'];
$rawPassword = $_POST['password'];
require './predis/autoload.php';
$redis = new PredisClient();
// 获得用户的ID
$userID = $redis->hget('email.to.id', $email);
if(!$userID) {
echo '用户名或密码错误。';
exit;
}
$hashedPassword = $redis->hget("user:{$userID}", 'password');
现在我们得到了之前存储过的经过散列后的密码,接着定义一个函数来对用户提交的密码进行散列处理。bcryptHash函数中返回的密码中已经包含了盐,所以只需要直接将散列后的密码作为crypt函数的第二个参数,crypt函数会自动地提取出密码中的盐:
function bcryptVerify($rawPassword, $storedHash)
{
return crypt($rawPassword, $storedHash) == $storedHash;
}
之后就可以使用此函数进行比对了:
if(!bcryptVerify($rawPassword, $hashedPassword)) {
echo '用户名或密码错误。';
exit;
}
echo '登录成功!';
3.忘记密码
需求描述:当用户忘记密码时可以输入自己的邮箱,系统会发送一封包含更改密码的链接的邮件,用户单击该链接后会进入密码修改页面。该模块的访问频率限制为1分钟10次以防止恶意用户通过此模块向某个邮箱地址大量发送垃圾邮件。
当用户在忘记密码的页面输入邮箱后,我们的程序需要做两件事。
(1)进行访问频率限制。这里使用4.2.3节介绍的方法以邮箱为标示符对发送修改密码邮件的过程进行访问频率限制。当用户提交了邮箱地址后首先验证邮箱地址是否正确,如果正确则检查访问频率是否超限:
$keyName = "rate.limiting:{$email}";
$now = time();
if($redis->llen($keyName) < 10) {
$redis->lpush($keyName, $now);
} else {
$time = $redis->lindex($keyName, -1);
if($now - $time < 60) {
echo '访问频率超过了限制,请稍后再试。';
exit;
} else {
$redis->lpush($keyName, $now);
$redis->ltrim($keyName, 0, 9);
}
}
一般在全站中还会有针对IP地址的访问频率限制,原理与此类似。
(2)发送修改密码邮件。用户通过访问频率限制后我们会为其生成一个随机的验证码,并将验证码通过邮件发送给用户。同时在程序中要把用户的邮箱地址存入名为retrieve.password.code:散列后的验证码的字符串类型键中,然后使用EXPIRE命令为其设置一个生存时间(如1个小时)以提供安全性并且保证及时释放存储空间。由于忘记密码需要的安全等级与用户注册登录相同,所以我们依然使用Bcrypt算法来对验证码进行散列,具体的算法同上这里不再详述。