目的：

对目前已有的 Web 应用系统，和将来待开发的 Web 应用系统进行集成，实现单点登录。

要求：

1. 对已有的 Web 应用系统不作大规模改造。
2. 不限制待开发的 Web 应用系统的开发工具。
3. 不增加待开发系统的开发难度。

分析：

1. 目前，已有的系统都各自维护自己的一套用户库，每个系统中的用户数、用户名、密码几乎都各不相同。要将已有的用户库进行统一是不现实的。因此，我们可以通过将单点登录系统中的用户与其它个系统中的用户建立映射，来实现用一个帐号来管理多个系统的目的。
2. 已 有的 Web 应用系统、以及待开发的 Web 应用系统，可能不在同一个域下，虽然会话本身是保存在服务器端，但是会话 id 是需要 cookie 来传递的，而 cookie 不允许跨域访问，而且考虑到各个系统的开发工具也各不相同，即使在同一个域下，不同的开发工具所开发的应用程序之间也很难共享会话，因此要用共享会话的方 式来实现单点登录也不现实。因此我们通过在客户端浏览器、单点登录系统和 Web 应用系统之间传递临时会话，并让 Web 应用系统直接到单点登录系统中获取认证信息来实现单点登录。为保证不同开发工具都能够到单点登录系统获取认证信息，我们采用 xml-rpc 在 Web 应用系统和单点登录系统之间进行通讯。

实现：

单点登录系统中设置 4 个表：

1. 单点登录系统用户表，包含 user_id，name，password 3 个字段。
2. Web 应用系统表，包含 app_id，name（Web 应用系统名称），checkurl（Web 应用系统中用来验证用户登录的程序地址） 3 个字段。
3. 单点登录系统用户到各个 Web 应用系统的用户映射表，包含id，user_id，app_id，name，password 5 个字段。
4. 临时会话表，包含 hash（临时会话的 hash 编号），id（对应单点登录系统用户到各个 Web 应用系统的用户映射表中的 id 字段） 2个字段。

用户登录单点登录系统时，通过单点登录系统用户表中的字段来验证用户身份。登录以后，用户可以设置各个系统到该系统用户的映射关系。设置好以后，当通过该 系统进入其他某个 Web 应用系统时，该系统会为该用户和该系统生成一个临时会话编号（hash），并转到 Web 应用系统中的登录检测页面，登录检测页面通过获取到的临时会话编号，来调用单点登录系统的获取用户名和密码的 xml-rpc API，如果用户名密码如果正确，则转到正常登录后的页面，如果不正确，则转到登录错误的页面。这里，xml-rpc API 在返回用户名和密码后，将删除单点登录系统数据库中相应的临时会话，这样不但用户名、密码都是在服务器之间进行传递的，并且临时会话存在的时间也是尽可能 的短，因此只要保证服务器之间的对话不能被监听，即可保证安全性。 已有系统需要增加一个用于单点登录系统的登录验证页面，该页面工作过程大致如下：

1. 获取 客户端 hash 值
2. 通过 hash 值得到用户名和密码（xml-rpc 调用）
3. 通过用户名和密码进行身份验证
4. 返回身份验证后的页面

原作者：andot，来源coolcode.cn，原文：http://www.coolcode.cn/show-89-1.html

闲来无事，到coolcode.cn上去闲逛。发现了一些比较旧的文章，以前也都看过，但，那时候没有开博，所以也就没有记录。如今博客也开了，coolcode.cn估计要成为我搜刮的对象了。

coolcode.cn的作者是andot，PHPRPC的作者，我06年年中（应该没记错）就使用了这个软件，同年放弃使用xajax，当然，现在我更多的使用jquery来操作ajax，但PHPRPC的功能不完全局限于ajax，我这里就不详谈了。先谈这篇文章。。。

无耻的分隔线：

原来，在从 PHP 中直接传递字符串给 JavaScript 时，直接用了 addcslashes，如果传递的是带有 utf-8 编码汉字的，就用 "\0..\037\042\134"，如果纯 ascii 范围内的字符串，就用 "\0..\037\042\134\177..\377"。但是今天在写加密程序时发现，发现程序有时行，有时不行。后来发现原来是 \v \a 搞的。addcslashes 会把 \007..\015（八进制） 转义成 \a\b\t\n\v\f\r，而其中 \a 这个 IE 和 Firefox 都不认识，\v 这个 Firefox 认识，IE 不认识。所以我写了下面这个函数，用它可以就可以转化成 JavaScript/JScript 所认识的字符串了（其中 $flag 表示是否转义 ascii 码大于 127 的字符）。感谢五帝同学的帮助！

PHP 序列化（serialize）格式详解

1. 前言
2. 概述
3. NULL 和标量类型的序列化
4. 简单复合类型的序列化
5. 嵌套复合类型的序列化
6. 自定义对象序列化
7. Unicode 字符串的序列化
8. 参考文献

原文来自Coolcode.cn，作者andot

» 阅读全文

身为一个网站管理人员，防盗链这个任务实在是任重而道远呀。不说别的，如果不控制，每天的流量可能就会刷刷刷的往上涨，可实际情况呢？根本没有人来浏览。这还不是最重要的，最重要的是这些流量占用了大量带宽，影响了其他人的正常浏览。长此以往，来浏览的人就更少了，再最后就造成恶性循环，网速越慢，来看的人越少，来看的人越少，被下载的机会就越多，也就导致打开网页更慢。

作为一个非下载性网站，防盗连实在是有一些必要，这里我也不谈很多，毕竟防盗链也是一门很高深的技术，我只能随便谈谈。

技巧没有多少，稍谈一点
1、利用SESSION机制，判断该用户的session存在多久？如果是刚生成的，则不让下载
2、COOKIE机制，如果是正常浏览网页，那么生成一个COOKIE，然后才允许下载
3、检查客户机的agent，不过这个很不准确，大多数下载工具都会伪造一个头
4、referer，这个嘛。。。黑黑，表面上有用，其实也没啥用，很明显，下载工具也一样会伪造
5、即时readfile下载，这个会有一点问题，如果东西不大，那是无所谓，如果东西很大，那问题就来了，不能断点续传，也不能使用下载工具。一旦下载失败就不得不重来
6、输入密码。。。象某些网站的提取码之类的
7、用组件，IIS上有现成的防盗链组件，直接可以使用，限制好特定的文件后缀名就行了
8、验证码，这个和输入密码下载有点类似，不过现在很多程序都会自动识别验证码，但下载工具好象还没有这个功能，可以尝试
9、通过邮件机制发送，而不是直接给出下载链接（但很有可能没有办法在网上显示相关内容）
10、无耻的生成BT种子，你们想怎么玩就怎么玩吧。
11、定期按规则更改文件名，或者是链接。。。但不知道那些下载工具是否会自动判断文件的MD5？或者在下载前先判断文件MD5？应该不可能，所以还是值得尝试一下，写个函数，对于下载链接的URL可以定时更换。
12、更改资源内容(这个是看别人的网站而来，意思是，如果提供了MP3下载，那么可以尝试定期不定期的修改MP3的TAG，如果是压缩文件，那么他们都有一个备注区，定期通过程序修改这些位置，可以造成文件大小不一样，对于下载软件来说可能就会被当成不同的文件)
对于11、12好象都有一个问题，主要是指迅雷，如果资源被收录了，但实际被删除了，可能会在一段时间内会被迅雷狂访问，变相的DDOS，曾经我有一台服务器就遇到过这种情况，在我之前，服务器的IP是做电影下载的，后来不搞了，我使用了这个IP，天天流量满，后来一查，发现所有的链接都是下载电影的，虽然没有资源了，但就是拼命的、不停的在连接，造成流量狂涨。

上面这些方法除了用组件比较完全和相对会比较成功一点之外，其他的都难说啊。。。

随便谈谈而己，也不奢求一定能够有用

上一次我说需要用imagemagick做水印，最后是直接通过exec来完成的。方便啊，直接把参数传过去就解决了，可是在现实中，不太可能这样处理，于是找到这个网站进行学习。当然首要的还是看这个水印的。。。。

内容还是看全文吧，没有翻译，我觉得也没有什么好翻译的，

» 阅读全文