如何借助应用份认证模块和.htaccess文件保证Web安全| →『网络安全区』

要限制对一个网页的访问，可使用Apache和第三方提供的身份认证模块和方法来验证用户的凭据（如用户名和密码），用户认证指令通常放置在.htaccess文件中。本文介绍如何应用份认证模块和.htaccess文件。
  

要限制对一个网页的访问，可使用Apache和第三方提供的身份认证模块和方法来验证用户的凭据（如用户名和密码）。一些模块支持通过各种数据库（包括NIS和LDAP）进行身份认证。



用户认证指令通常放置在.htaccess文件中。下面是使用Apache默认身份认证模块（mod_auth）的一个基本.htaccess文件。当这个文件放置在/var/www中时，会导致Apache要求用户输入密码进行验证，然后浏览器才能访问/var/www目录层次结构中的内容。应用时，要用本地服务器的相应值进行替换。

# cat .htaccess

AuthUserFile /var/www/.htpasswd

AuthGroupFile /dev/null

AuthName "Browser dialog box query"

AuthType Basic

require valid-user



/var/www/.htpasswd是一个.htpasswd文件的典型绝对路径名，用户在要求输入用户名和密码的对话框中会看到字符串Browser dialog box query。



前面.htaccess文件的第二行关闭组功能。第四行指定用户的身份认证类型为Basic，这也是mod_auth模块的默认设置。最后一行告诉Apache哪些用户可以访问受保护的目录。valid-user条目会授权任何用户（用户名在Apache密码文件中并且输入的密码正确）访问该目录。



只要Apache可以读取其密码文件，该文件可放在系统上的任何地方。把这个文件与.htaccess文件放在同一目录下也是安全的，因为默认情况下，Apache将不会对名字以.ht开头的任何文件的请求进行回复。但是一定不要更改httpd.conf配置文件，以防Apache对名字以.ht开头的文件的请求进行回复。



下面的命令将在工作目录中创建（–c）一个带有Sam条目的.htpasswd文件。省略–c选项可以在现有.htpasswd文件中添加用户或更改密码。

$ htpasswd -c .htpasswd sam

New password:

Re-type new password:

Adding password for user sam



默认的httpd.conf文件包括用于/var/www的AllowOverride None指令。要启用Apache来处理用户认证指令（如读取.htaccess文件），必须将这个指令更改为AllowOverride AuthConfig或将其删除。



在Apache已配置为可处理.htaccess文件后，当它收到对文件的请求时，必须从所请求的文件向上遍历目录层次结构一直到根目录，查找.htacess文件，以确定它是否可以提供该请求的文件。此搜索可能会影响性能。通常情况下性能下降不太严重，但如果性能很关键，则这个问题将很棘手。

哥们，给我做个链接吧

机会就像水中的鱼，耐心等待就能上钩。

我怎么就踩不死你呢??

正好你开咯这样的帖

呵呵 高高实在是高~~~~~

女人啊真是那句话~~~无理占三分~~忘记怎么说了 呵呵 ~~你帮我想想

在这个处女都要验证码的时代不得不弄个会员来当每天看贴无数基本上不回 后来发现很傻,很多比我注册晚的级别都比我高,我终于觉悟于是我就把这段文字保存在记事本里,每看一贴就复制粘贴一次。

来电来函..欢迎洽购...

阿额~~~这些人都疯特勒~~~~~

朕在自己的寝宫~~~~

做为新人！在这里不敢大声说话！送完经验我就走！

看完楼主的帖子，我的心情竟是久久不能平静

系统居然怀疑我灌水，我身边又没有水龙头。哦…明白了，身上有一个……

去干吗啊~~~伤心啊~~~