Aula 22: Protegendo Páginas e Funcionalidades com Autenticação Baseada em Sessões

Por: Nerd Toolkit Postado em: Outubro 21, 2024 Visto por: 383

Aula 1: Introdução à Série: Aprenda PHP por Projetos Aula 2: Explicação sobre PHP e Programação Orientada a Objetos (OOP)Aula 3: Ferramentas Necessárias - Notepad++, USBWebserver e XAMPP Aula 4: Criando a Estrutura de Pastas do Projeto Aula 5: Noções Básicas de PHP - Variáveis e Operadores Aula 6: Introdução às Funções em PHP - Como Criar e Usar Funções no Desenvolvimento Web Aula 7: Introdução ao HTML e Integração com PHP Aula 8: Conectando ao Banco de Dados MySQL Aula 9: Por que Usar uma Classe para Gerenciar a Conexão?Aula 10: Construindo as Primeiras Funcionalidades: CRUD de Tarefas Aula 11: Criando a Classe Task para Gerenciar as Tarefas Aula 12: Implementando o Método createTask() para Adicionar Novas Tarefas Aula 13: Listando Tarefas com o Método getAllTasks()Aula 14: Usando Bootstrap para Estilizar a Interface Aula 15: Editando e Excluindo Tarefas Aula 16: Implementando a Funcionalidade de Edição de Tarefas (updateTask())Aula 17: Criando a Funcionalidade de Exclusão de Tarefas (deleteTask())Aula 18: Melhorando a Interface com Botões de Ação Estilizados pelo Bootstrap Aula 19: Adicionando Autenticação de Usuários Aula 20: Criando a Tabela users e a Classe User Aula 21: Implementando Registro e Login de Usuários Aula 22: Protegendo Páginas e Funcionalidades com Autenticação Baseada em Sessões Aula 23: Segurança no PHP: Protegendo Dados e Implementando Boas Práticas

1. O que São Sessões no PHP?

As sessões no PHP são uma maneira de armazenar informações dos usuários entre requisições. Diferente dos cookies, as sessões armazenam os dados no servidor, tornando-as mais seguras para manter dados sensíveis, como informações de login.

2. Iniciando uma Sessão

Para utilizar sessões em PHP, a função session_start() deve ser chamada no início de qualquer script que precise acessar ou manipular dados de sessão.

Exemplo básico de como iniciar uma sessão:

<?php
session_start();
?>

3. Protegendo Páginas com Sessões

Para proteger uma página, verificamos se o usuário está autenticado ao checar se uma variável de sessão, como $_SESSION['user_id'], está definida. Se o usuário não estiver logado, ele é redirecionado para a página de login.

Adicione o seguinte código no topo de todas as páginas que precisam ser protegidas:

<?php
session_start();
if (!isset($_SESSION['user_id'])) {
   header("Location: login.php");
   exit;
}
?>

Este código:

Verifica se a sessão contém o ID do usuário.
Se não estiver logado, redireciona para a página de login.

4. Exemplo: Protegendo a Página de Tarefas

No arquivo tasks.php, que lista as tarefas do usuário, adicione o código de verificação de sessão para garantir que apenas usuários logados possam acessar essa página:

<?php
session_start();
if (!isset($_SESSION['user_id'])) {
   header("Location: login.php");
   exit;
}
?>
<!DOCTYPE html>
<html lang="pt-br">
<head>
   <title>Tarefas - Gerenciador de Tarefas</title>
   <link href="https://stackpath.bootstrapcdn.com/bootstrap/4.5.2/css/bootstrap.min.css" rel="stylesheet">
</head>
<body>
   <div class="container">
       <h2 class="mt-5">Minhas Tarefas</h2>
       <!-- Conteúdo da página de tarefas -->
   </div>
</body>
</html>

5. Protegendo Funcionalidades com Sessões

Além de proteger páginas inteiras, também podemos proteger funcionalidades específicas que dependem da autenticação. Por exemplo, se quisermos proteger o acesso à funcionalidade de criar uma tarefa, verificamos a sessão antes de executar a ação.

No arquivo create_task.php, que processa a criação de novas tarefas, podemos adicionar a seguinte verificação:

<?php
session_start();
if (!isset($_SESSION['user_id'])) {
   header("Location: login.php");
   exit;
}
// Código para adicionar uma nova tarefa
?>

6. Encerrando Sessões: Logout

Para permitir que o usuário faça logout e encerre sua sessão, o script logout.php deve limpar e destruir todos os dados de sessão:

<?php
session_start();
session_unset(); // Remove todas as variáveis de sessão
session_destroy(); // Destroi a sessão
header("Location: login.php"); // Redireciona para a página de login
exit;
?>

7. Manutenção de Sessões e Segurança

Tempo de Sessão: Considere adicionar um tempo limite para a sessão, encerrando-a após um período de inatividade.
Regeneração de ID de Sessão: Para evitar ataques de fixação de sessão, você pode regenerar o ID da sessão após o login bem-sucedido com session_regenerate_id().

8. Exercício Prático

Como exercício, proteja as páginas do seu projeto:

Aplique a lógica de sessão nas páginas e funcionalidades sensíveis.
Implemente o logout e teste o funcionamento.

9. Próximos Passos

Agora que você sabe como proteger páginas e funcionalidades com sessões, o próximo passo será melhorar a segurança do sistema, implementando criptografia de senhas e prevenindo vulnerabilidades comuns.

Tags:

#autenticação PHP # proteção de páginas PHP # sessões PHP # autenticação por sessão # login com sessão PHP # segurança de sessões PHP # OOP PHP