PHPセキュリティ認証と承認完全ガイド：実用的な方法とコードの例

M66 2025-07-21

PHPでのセキュリティ認証と承認の概要

PHP開発では、ユーザーのアイデンティティの信頼性とアクセス権の合理的な制御が安全なWebアプリケーションを構築するための鍵です。この記事では、いくつかの一般的な認証と承認技術を紹介し、コード例と組み合わせて説明して、より安全なアプリケーション環境を実現するのに役立ちます。

認証：ユーザーの身元を確認します

基本的なHTTP認証

HTTP Basic Authenticationは、ブラウザポップアップウィンドウを介してユーザー名とパスワードを要求します。シンプルで使いやすいですが、送信中はセキュリティが低く、内部または低セキュリティのニーズシナリオに適しています。

コード例：

 // HTTP Basic Authentication Headerを送信（ &#39;www-authenticate：Basic Realm = "Protected Area"&#39;）;
ヘッダー（ &#39;http/1.0 401認める&#39;）;

//指定された資格情報を確認するif（sist（$ _ server [&#39;php_auth_user&#39;]）&& isset（$ _ server [&#39;php_auth_pw&#39;]）{
    $ username = $ _server [&#39;php_auth_user&#39;];
    $ password = $ _server [&#39;php_auth_pw&#39;];

    //データベースでユーザーを見つけます$ stmt = $ mysqli-> prepare（ "select * from users where username =？and password =？"）;
    $ stmt-> bind_param（ "ss"、$ username、$ password）;
    $ stmt-> execute（）;
    $ result = $ stmt-> get_result（）;
    $ stmt-> close（）;

    if（$ result-> num_rows> 0）{
        //検証が成功し、アクセスがライセンスされます} else {
        //検証が失敗し、401の不正な応答エコー「不正アクセス」が急行されました。
    }
}

フォーム認証

HTMLフォームを介してユーザー名とパスワードを送信することは、Webアプリケーションで最も一般的に使用される認証方法であり、セッション管理を組み合わせてユーザーログインステータスメンテナンスを実現します。

コード例：

 //ログインフォームの提案しますを処理するif（ISSET（$ _ post [&#39;username&#39;]））&& sisset（$ _ post [&#39;password&#39;]））{
    $ username = $ _post [&#39;username&#39;];
    $ password = $ _post [&#39;password&#39;];

    //データベースでユーザーを見つけます$ stmt = $ mysqli-> prepare（ "select * from users where username =？and password =？"）;
    $ stmt-> bind_param（ "ss"、$ username、$ password）;
    $ stmt-> execute（）;
    $ result = $ stmt-> get_result（）;
    $ stmt-> close（）;

    if（$ result-> num_rows> 0）{
        //検証が成功し、認証セッションsession_start（）を作成します。
        $ _SESSION [&#39;Authenticated&#39;] = true;

        //守るされたエリアヘッダーにリダイレクト（ "場所：protected_area.php"）;
    } それ以外 {
        //検証が失敗し、エラーメッセージが急行されます。「無効なユーザー名前またはパスワード」。
    }
}

承認：ユーザーアクセス権を制御します

役割承認

ユーザーの役割に基づく管理アクセス許可は、管理者と通常のユーザーの許可区別など、複数のユーザーのアプリケーションで一般的です。

コード例：

 //ユーザーが特定の守るエリアにアクセスするために必要なアクセスライセンスを所有っているかどうかを確認します。
    //アクセスライセンス}

リソース認証

特定のリソース（ファイル、データベースレコードなど）へのアクセスを制御して、ユーザーがアクセス許可内のリソースのみにのみアクセスできるようにします。

コード例：

 //ユーザーID $ path = &#39;/uploads/&#39;にベースづいてファイルアクセス権限を確認します。 $ _get [&#39;file_id&#39;];
if（file_exists（$ path）&& is_file（$ path））{
    $ fileOwner = &#39;user_&#39;。 $ _get [&#39;user_id&#39;];
    if（fileOwner（$ path）== $ fileOwner）{
        //ファイルへのアクセスをライセンスする}
}

包括的な実用的なケース

メッセージボードアプリケーションでは、上記の認証と承認メカニズムを組み合わせることができます。

ユーザーは、HTTPの基本認証またはフォーム認証を介してログインします。
認証が成功したら、セッションを作成して役割（登録ユーザーや管理者など）を割り当てます。
対応する役割を持つユーザーのみが、管理の背景などの制限領域にアクセスできます。

要約します

認証と承認プロセスを合理的に設計することにより、PHP開発者はWebアプリケーションのセキュリティを効果的に改善できます。この記事で提供されているサンプルコードとアイデアは、安全なアクセス制御を実装するための実用的な参照を提供し、より安定した信頼性の高いアプリケーションシステムを作成するのに役立ちます。