织梦中用到了cookie和session,在织梦后台用的是session,在会员系统首页用的是cookie,前台和后台用到的验证码是通过session来实现验证的,我们先从织梦后台开始分析,织梦系统中的session的应用。
当我们打开后台,通过抓取头文件,如下图所示。
通过上图我们可以看到,已经创建了一个session 文件。我们分析一下织梦从打开后缀到登录,程序都执行了哪些操作。
当我们打开后台http://localhost/dede后,系统找到index.php文件,然后,在这个文件中引入后台配置文件config.php,在这个配置文件里引入了“管理员登陆类”,这个类里面的第一句就session_start(),并且在配置文件里接着
包含了common.inc.php文件,直接把验证码类也引入,同时,验证码初始化,我们打开验证码类看一下,你会发现在验证码初始化后,同时把验证码存入cookie中,这就是为什么在这个类中经常看到session_start()的影子。接着在配置
文件中运行里面的程序,当运行到下面的代码:
$cuserLogin = new userLogin();
if($cuserLogin->getUserID()==-1)
{
header("location:login.php?gotopage=".urlencode($dedeNowurl));
exit();
}
这句是用来判断用户是不是已经登录了,如果没有登录,则转到location里面的路径。我们打开类文件userlogin.class.php,可以找到方法getUserID(),这个方法是用来判断用户id是不是存在,若存在,则返回这个id,否则返回-1。
因为没有登录,所以,程序会自动路出config.php,并转到http://localhost/dede/login.php?gotopage=%2Fdedecms%2Fdede%2F这里,即后台登录界面,程序也就转到了login.php文件,这个文件正是处理用户提交的用户名和密码,还有验证码的。
这个login.php对应的模板文件是login.htm,就是我们看到的界面,当我们写上用户名、密码和验证码后,点提交,这些数据将被提交到login.php文件,在62行我们看到代码if($dopost=='login'),用来处理当提交了后,难证用户名、密码和验证码的。
要注意的是:我们在做这样的类似的用户验证功能时,最好先验证一下验证码,因为验证码是通过cookie来实现验证的,而用户名和密码则要查询数据库,如果验证码不正确,白白查询数据库,浪费资源。织梦也是这样做的,先通过函数GetCkVdValue()来验证,然后,再通过checkUser($userid,$pwd)方法进行验证。
其中GetCkVdValue()在“系统核心函数存放文件”common.inc.php里面,在这个文件的最后,我们就可以找到。checkUser($userid,$pwd)方法在“管理员登陆类”类文件userlogin.class.php里面约240行,如果用户名和密码正确,则返回1,否则返回-1。
若用户名正确,则执行下面的这段代码:
//success
if($res==1)
{
$cuserLogin->keepUser();
if(!empty($gotopage))
{
ShowMsg('成功登录,正在转向管理管理主页!',$gotopage);
exit();
}
else
{
ShowMsg('成功登录,正在转向管理管理主页!',"index.php");
exit();
}
}
这段代码非常重要,特别是$cuserLogin->keepUser();这个方法的调用,这方法是为了“保持用户的会话状态”,也是把用户的信息,写到cookie里面的重要方法,只有执行了这个方法,才能使在我们再打开浏览器一个选项卡,再打开后台,可以不用登录直接进行网站后台。
这也是下一次打开后台路径后,在config.php里面进行判断用户是不是已经登录,也就是getUserID()是不是等于-1,即if($cuserLogin->getUserID()==-1)的重要依据。
回过头来我们再看一下,上面这段代码中的$cuserLogin->keepUser();这句是如何实现把cookie写入到session文件中的。$cuserLogin->keepUser()这个方法在文件类userlogin.class.php里面的第281行开始处。要读懂这个文件,还要打开common.inc.php打到如下代码。
这里在大于php5.4以上的版本的前提下定义了三个函数,分别是创建session值的函数session_register(),判断是否已经设置了session值的函数session_is_registered()和销毁session的函数,session_unregister()。这样无论你的php版本无论是哪一个,都可以用函数session_register()了,织梦帮我们想的非常周到!
回到函数keepUser()里面,在函数里面不仅创建了很多session,例如$_SESSION[$this->keepUserIDTag] = $this->userID;还创建了cookie,
PutCookie('DedeUserID', $this->userID, 3600 * 24, '/');
PutCookie('DedeLoginTime', time(), 3600 * 24, '/');
通过这二个函数创建了cookie,这二个函数在cookie小助手cookie.helper.php里面定义的。
当登录成功,程序直接调用模板index2.htm,进入后台后,我们刚进入后台看到的界面就是这个模板文件。
总结:当我们在地址栏输入http://localhost/dede/按回车后,程序会打开http://localhost/dede/index.php文件,程序会从这个index.php首先进入到config.php里面,当执行代码,执行到
$cuserLogin = new userLogin();
if($cuserLogin->getUserID()==-1)
若你没有登录过,则转到login.php?gotopage=%2Fdedecms%2Fdede%2F界面,这时程序已经跳出config.php,而且此时,程序并没有回到index.php文件里,因为,通过exit()跳到了login.php文件里了。当输入的用户名、密码和验证码通过验证后,程序又跳转到index.php界面,即进入了后台。
若已经登录,又打开浏览器标签,程序依然会进入到index.php里面,然后,进入到config.php里面,此时getUserID()的值不是-1,这是因为刚登录后,程序已经通过session保存在服务器里了,所以,就不会跳转到login.php页面了,而是直接向下运行,装载模板index2.htm,进入后台首页。
其它登录验证跟这个后台的验证类似,只是不像织梦这么复杂而已。