PHP para desarrollo
de aplicaciones web (II)
La autenticación
de usuarios utilizando HTTP
El protocolo HTTP proporciona un
mecanismo de autenticación de clientes.
Para ello hay que utilizar la cabecera
de los paquetes HTTP e incluir en
ellos que enviamos un paquete de autenticación.
Este paquete, una vez recibido en
el cliente, provocará que este obtenga
de alguna forma un login y una clave
del navegante. Lo más común es que
se presente una cajita con dos campos:
uno para introducir el login y el
otro para introducir la clave. Este
login y clave son enviados al servidor,
el cual verificará los permisos de
este usuario a través de algún sistema:
bases de datos, LDAP etc.
PHP tiene una función llamada header()
que permite trabajar con la cabecera
de los paquetes HTTP. Es fundamental
no escribir nada de código HTML antes
de utilizar estas funciones, ya que
en caso contrario, no sería posible
modificar la cabecera del paquete
HTTP y al llamada a la función header
provocaría un error.
Si queremos enviar al usuario una
petición de autenticación lo que hay
que hacer es incluir al comienzo de
la página el siguiente código:
if(!isset($PHP_AUTH_USER)) {
Header("WWW-Authenticate: Basic realm=\"Zona protegida\"");
Header("HTTP/1.0 401 Unauthorized");
echo "Texto que se envía si el usuarios pulsa en botón Cancel\n";
exit;
} else {
echo "Hola $PHP_AUTH_USER.
";
echo "Has introducido $PHP_AUTH_PW como tu clave.
";
}
En este sencillo ejemplo, tomado
directamente del manual de PHP, lo
único que se hace es presentar el
login y clave introducidos por el
usuario. Lo normal es que se compruebe
este login y clave en una base de
datos, a través de las potentes funciones
de PHP, o en un servidor de LDAP o
la misma base de datos de usuarios
del sistema.
Una vez que el usuario se ha autenticado
el cliente, estos datos se envían
en todas las peticiones de páginas
para esa zona protegida, por lo que
en todo momento podemos saber quien
está accediendo a las páginas. Es
una especie de cookie que se mantiene
mientras el usuario no apague el navegador
o reciba un paquete de autenticación
invalida. Con este sistema podemos
tener una zona protegida en la que
se hace un control exhaustivo de quien
ha accedido a la página, a que hora,
que otras páginas ha visitado de la
zona protegida etc. El usuario es
consciente que desde el momento que
ha insertado su login y clave ha sido
identificado, y que todo lo que haga
puede ser registrado.
El problema con las cookies es que
el usuario no es muchas veces consciente
de este hecho, y el día que lo entiende,
se vuelve un navegante paranoico más
que cree que en todos los sitios le
están controlando.
Subida de ficheros
utilizando HTTP
Uno de los servicios favoritos de
todos los internautas es el intercambio
de información. Y este suele ir asociado
al intercambio de ficheros en un 99%
de los casos. Muchas veces cuando
montamos un servicio en Internet,
necesitamos que el usuario pueda enviar
sus ficheros al servidor: páginas
web, imágenes, sonido, etc.
Como todos sabemos la solución ideal
para el intercambio de ficheros es
el FTP. Pero lo que los internautas
están acostumbrados a utilizar es
el web. Para que utilicen el FTP hay
que indicarles un cliente, el navegador
podría ser pero su interfaz es compleja
para hacer FTP. Una vez que tienen
el cliente hay que configurarlo. Y
luego tienen que aprender a utilizar
el programa. En muchos casos esto
sólo supone la pérdida de un par de
horas pero en otros, se vuelve algo
complicado de lograr si el internauta
no está muy formado en temas de Internet.
HTTP nos proporciona una solución
ideal para simplificar este envío
de ficheros desde el cliente hacia
el servidor, sin salirse de la interfaz
web en ningún momento. Es lo que se
conoce como HTTP Upload. Con este
mecanismo podemos lograr que el cliente
nos envíe ficheros locales de su computador
pulsando un botón.
Lo primero es crear una página HTML
con un formulario en el que incluimos
el widget.
<FORM ENCTYPE="multipart/form-data" ACTION="recibe_fichero.php3" METHOD=POST>
<INPUT TYPE="hidden" name="MAX_FILE_SIZE" value="1000">
Envía este fichero: <INPUT NAME="fichero_usuario" TYPE="file">
<INPUT TYPE="submit" VALUE="Envía Fichero">
</FORM>
Destacar de este formulario HTML
la posibilidad de restringir el tamaño
del fichero que se va a enviar. El
protocolo HTTP no es tan robusto como
FTP para el intercambio de ficheros
grandes, por lo que este sistema es
muy recomendable con ficheros de cientos
de kilo-bytes.
La página HTML resultante es, una
vez que el usuario ha pulsado el botón
de seleccionar el fichero la que se
observa en la siguiente figura.
Este fichero se envía al servidor
de web el cual lo reenvía al cgi que
se encarga de su tratamiento, en este
caso el programa PHP "recibe_fichero.php3".
Este programa PHP se encarga de ir
recibiendo el fichero y almacenarlo
en un directorio del disco duro. Es
importante tener en cuenta que el
usuario que está guardando el fichero
es aquel con el que se ejecuta el
servidor de web por lo que deberá
de tener permisos para escribir en
el directorio y fichero que se utilicen.
Dentro del programa de PHP que recibe
este fichero se definen una serie
de variables que nos vana a permitir
gestionar el fichero recibido:
- $fichero_usuario: nombre del fichero
temporal en el que se ha almacendo
en el servidor el fichero enviado
por el usuario. El lugar donde se
guardan estos ficheros es el directorio
temporal del servidor de web.
- $fichero_usuario_name: nombre
original del fichero tal y como
nos lo envió el usuario
- $fichero_usuario_size: tamaño
del fichero
- $fichero_usuario_type: el tipo
MIME con el que el navegador a identificado
el fichero
Con estos datos es sencillo localizar
los ficheros que nos envían los clientes
y colocarlos en los directorios adecuados.
Podemos incluso colocarlos en unos
directorios u otros según la identidad
del usuario que los envíe.
En principio este servicio se puede
abrir de forma anónima, con lo que
tendríamos algo muy similar a un servidor
de FTP anónimo. Pero nada nos impide
proteger las páginas de subida de
ficheros y poder identificar al usuario
que los envía. En este caso ya tenemos
un servicio similar a un FTP autenticado.
El proporcionar la opción de subir
los ficheros por el web a un cliente
puede ser la frontera entre que nos
lo envíe o no. En un mundo de portales,
con cientos de servicios gratuitos,
si queremos tener la esperanza de
que nuestros usuarios nos envíen sus
fotografías, la de los productos que
meten en su tienda gratuita etc. las
posibilidades de que lo logremos serán
mucho más altas con este tipo de mecanismos
que utilizando el protocolo FTP clásico.
Y siempre se pueden dejar ambas opciones,
para que los usuarios más avanzados
tengan la potencia y flexibilidad
de intercambiar sus ficheros con FTP.
Conclusiones
Las funcionalidades presentadas en
este artículo son básicas a la hora
de crear páginas dinámicas utilizando
PHP. Su dominio y su integración dentro
de proyectos de Internet debe ser
un objetivo dentro de la comunidad
de desarrolladores PHP.
Son tecnologías muy potentes, aunque
sólo constituyen la punta de todo
lo que se puede hacer con el lenguaje
PHP. En las próximas entregas de esta
sección seguiremos presentando nuevas
funciones de las amplísimas librerías
de PHP, y comenzaremos a profundizar
en PHP4, el producto estrella para
el desarrollo de Internet de los próximos
meses.
Referencias
Top Secciones de descargas
