使用PHPRPC实现Ajax安全登录

PHPRPC 与其它 ajax 框架不同，PHPRPC 遵循的是“只做一件事，并把它做好”的原则。它只负责数据传输，并且将传输做到最好！它将你以前用传统的 ajax 方式做不到或者很难做到的事情变得轻而易举！
相信好多人选择 PHPRPC 的一个主要原因就是它能够让你开发 ajax 应用变得更加容易！尽管 PHPRPC 的强大之处不仅限于此，但我不得不承认，这确实是 PHPRPC 的一大亮点！
所以，我们的第一站，就来看看如何用 PHPRPC 3.0 来编写 ajax 应用吧。

下 面我们举一个最简单的例子（甚至可以算是无聊的例子 :mrgreen: ）来说明如何使用 PHPRPC 3.0 编写 ajax 应用。这个例子很好的说明了上面所提到的 MVC 模式如何具体的工作。这里我们先以 PHP 为服务器端的情况为例来说明。我们的第一个例子很简单，客户端输入一段字符串，然后服务器端计算出它的 SHA1 值。

require_once("../php/phprpc_server.php");
$server = new PHPRPC_Server();
$server->add("sha1");
$server->start();
?>

只有这么简单的 4 行代码，就把 PHP 内置的 sha1 函数发布了。现在，客户端可以直接使用这个函数了。

这个例子非常简单，并且跟 PHPRPC 有关的只有两条语句，一条是：

var rpc = new PHPRPC_Client(&＃39;sha1.php&＃39;, [&＃39;sha1&＃39;]);

这条语句用来创建一个 PHPRPC_Client 对象，第一个参数是服务器地址，这里可以用相对路径，也可以用绝对路径。
而且这个路径可以跨域！因此你可以做跨域的应用！
第二个参数是你需要使用的服务器端的函数名列表，所以，虽然我们这里只有一个函数，也要写成数组的形式。这样我们就有了一个可以调用服务器端方法的客户端对象了。
那该如何调用呢？我们来看第二条关于 PHPRPC 的语句：

rpc.sha1(input, showResult);

这条语句相当简单，你会发现我们直接使用了服务器端发布的函数名作为 rpc 对象的一个方法来调用。它的第一个参数就是 sha1 函数的参数值。第二个参数是个函数，这个是回调函数，也就是说，当服务器端方法执行完之后就会自动调用这个函数来完成结果的处理。它是在前面定义的，你会 发现它有一个参数 result，这个参数就是我们的远程过程 sha1 的返回值，它是通过回调函数的这个参数传入的。
另外一篇文章，整理的代码比较详细
昨天我举了个用 PHPRPC 实现 Ajax 级联下拉菜单 的例子，那个例子中我们重点要演示的是用 PHPRPC 实现 Ajax 效果是多么的简单。今天我们这个例子主要演示用 PHPRPC 内置的安全加密机制来实现安全登录是多么简单。当然它同样可以用于密码设置、其它关键保密数据的传输等领域。

这个例子比昨天的例子还要简单，先来看服务器端：

function login($username, $password) {
if (($username == "root") && ($password == "admin")) {
$_SESSION[&＃39;user&＃39;] = "root";
return true;
}
$_SESSION[&＃39;user&＃39;] = null;
return false;
}
require_once("phprpc_server.php");
new phprpc_server(array(&＃39;login&＃39;));
?>

这段代码太简单了，我不需要多说什么大家也能够看明白。不过大家会发现，在 login 函数中我用了 $_SESSION 变量，但是并没有在什么位置上写 session_start()，原因在于建立加密连接时，已经自动调用了 session_start()，因此不需要再单独写 session_start() 了。为了验证它是否生效，我们在后面的另一个页面中（admin.php），将判断这里设置的 $_SESSION 变量，并根据它来报告登录成功或者没成功跳回到登录页面。
那再来看看客户端，客户端我们将 Javascript 跟 HTML 分离了，先来看看 html 页面。

帐号：
密码：

这个页面很简单，只是设置好了表单输入框和按钮，所有的处理都是在 login.js 中完成的。不过需要注意的是这里的 phprpc_client.js 是 full 压缩版本，因为我们需要用到它的加密传输功能。我们来看看 login.js 是怎么写的。

// 创建 phprpc 客户端对象 rpc
phprpc_client.create(&＃39;rpc&＃39;);
// 初始化带有加密连接的 rpc 服务，第二个参数表示是否创建加密连接
rpc.use_service(&＃39;rpc.php&＃39;, true);
// 登录函数
function login() {
// 如果加密连接已经初始化完毕，则验证用户名密码
if (rpc.ready) {
// 获取用户输入的用户名和密码
var username = document.getElementById(&＃39;username&＃39;).value;
var password = document.getElementById(&＃39;password&＃39;).value;
// 设置远程过程调用为单向加密，
// 即传递的参数是加密的，但返回结果不加密
rpc.encrypt = 1;
// 调用远程过程验证用户名密码是否正确，并设置回调函数。
rpc.login(username, password, function (result) {
// 如果返回结果正确，则转到登录后的页面
if (result === true) {
window.location.replace(&＃39;admin.php&＃39;);
}
// 否则提示用户名密码不正确
else {
alert(&＃39;用户名密码不正确！&＃39;);
}
});
}
// 如果连接尚未初始化完毕，则等待 100 毫秒后重试。
else {
window.setTimeout(&＃39;login();&＃39;, 100);
}
}
window.Onload= function () {
document.getElementById(&＃39;loginbtn&＃39;).Onclick= login;
}

大家会发现除了在调用 use_service 时，设置了第二个参数为 true 外，还在调用服务器端的 login 函数前，设置了 rpc.encrypt 的值为 1，这里 1 表示单向加密传输，单向加密传输是指调用的参数会以加密的方式传给服务器，但是返回的结果不加密（如果参数是引用参数的话，参数返回时也是加密的）。如果 rpc.encrypt 的值为 0，则表示不加密；如果是 2，则表示双向加密。
这里因为只有用户名和密码是敏感数据，需要保证它在传递给服务器时不被截获（即使截获也是加密的内容，无法破解），但返回的结果成功还是不成功并不是什么需要保密的数据，所以可以不加密。因此这里选择了单向加密传输。
大家也不必担心密钥是否会被截获，因为密钥是通过密钥交换算法，在服务器端和客户端（浏览器端）随机同步生成的，但没有经过网络传输，在网络上传输的是生成同步密钥的相关信息，但是只获取到这些信息是不足以算出密钥的，因此可以保证密钥的安全性。而加密算法本身也是一个强加密算法，密钥长度是 128 位，在没有密钥的情况下采用穷举法也是无法破解的。
大家会发现登录成功后，我们转向了 admin.php 页面，下面是这个页面的一个简单的例子：

session_start();
if ($_SESSION[&＃39;user&＃39;] == &＃39;root&＃39;) {
echo "登录成功！";
}
else {
header("Location: index.html");
}
?>

这里需要自己 sestion_start() 一下了，之后就可以验证 $_SESSION[&＃39;user&＃39;] 是否设置了。
通过 PHPRPC，你不再需要为 Ajax 程序中数据的安全性而头痛，也不必为回话支持而苦恼，这一切 PHPRPC 都已经帮你自动完成了，你只需要关注具体的事务就可以了。用 PHPRPC 来做 Ajax 安全编程，就是这么简单！