12下一页
返回列表 发新帖

如何借助应用份认证模块和.htaccess文件保证Web安全| →『网络安全区』

376.2k 15
kjeittccdf 发表于 2015-3-28 20:39:10|湖北 | 查看全部 阅读模式
要限制对一个网页的访问,可使用Apache和第三方提供的身份认证模块和方法来验证用户的凭据(如用户名和密码),用户认证指令通常放置在.htaccess文件中。本文介绍如何应用份认证模块和.htaccess文件。- Y9 i9 }0 e" _( }
  6 O+ T- [$ f- L" p- p7 c

& p$ `' q3 I4 v要限制对一个网页的访问,可使用Apache和第三方提供的身份认证模块和方法来验证用户的凭据(如用户名和密码)。一些模块支持通过各种数据库(包括NIS和LDAP)进行身份认证。
% P0 L, a8 R% v1 ]
7 {3 z/ x: q- i0 r  c/ i/ Z 5 Q$ l0 r5 O; @; @3 D6 [+ D( A
) r+ Z) q) P. r% M0 m! y
用户认证指令通常放置在.htaccess文件中。下面是使用Apache默认身份认证模块(mod_auth)的一个基本.htaccess文件。当这个文件放置在/var/www中时,会导致Apache要求用户输入密码进行验证,然后浏览器才能访问/var/www目录层次结构中的内容。应用时,要用本地服务器的相应值进行替换。, l" O* A/ T5 {; J( |
! d3 q# F5 @4 g" ], ?8 C( e
# cat .htaccess
4 K  y" ^# A# K3 k0 f3 b
2 ~1 S! J$ X% x# M, O4 k5 AAuthUserFile /var/www/.htpasswd* e/ v8 u, e$ Y: j. n) U
4 r9 \. v0 Y. Y" v8 ?$ e
AuthGroupFile /dev/null3 c7 q5 `# q* o! h

, L! Q2 S& I/ y) N1 c$ A7 n- IAuthName "Browser dialog box query"
( b$ A$ j- M) H9 M4 c & d+ g4 I) d8 B. k6 u$ ?. n
AuthType Basic' t" Q( Q: F! N  S9 q
' h- A3 F2 ~- X; b5 T- V
require valid-user
6 {) e7 P1 H( o : l0 ?$ `0 E- ]* A* d7 j: A

1 u& j1 ~' p6 W' g1 F9 n
5 O5 l! G: U5 a8 G/var/www/.htpasswd是一个.htpasswd文件的典型绝对路径名,用户在要求输入用户名和密码的对话框中会看到字符串Browser dialog box query。' w0 K4 r3 b2 _- W- m! t0 b- `4 h

$ Z" Q' l' w% z4 ]$ P7 O" E; z" f0 ^ + k# E2 D  Z- y- c3 m% Y7 Y9 _

  I, m6 v* a7 x前面.htaccess文件的第二行关闭组功能。第四行指定用户的身份认证类型为Basic,这也是mod_auth模块的默认设置。最后一行告诉Apache哪些用户可以访问受保护的目录。valid-user条目会授权任何用户(用户名在Apache密码文件中并且输入的密码正确)访问该目录。
% v& G8 A$ p8 ~ ( |* L$ j9 R; J/ z$ W3 b+ o

6 i+ p5 V2 O. b7 A" K4 L( o; r
' C1 R7 r  W) F! |$ k只要Apache可以读取其密码文件,该文件可放在系统上的任何地方。把这个文件与.htaccess文件放在同一目录下也是安全的,因为默认情况下,Apache将不会对名字以.ht开头的任何文件的请求进行回复。但是一定不要更改httpd.conf配置文件,以防Apache对名字以.ht开头的文件的请求进行回复。4 \: C2 h9 @8 z
# @& i2 K4 P5 ^; k8 o
1 |3 H  S( a1 Y6 @
4 ]& m+ M" ~' Y8 }
下面的命令将在工作目录中创建(–c)一个带有Sam条目的.htpasswd文件。省略–c选项可以在现有.htpasswd文件中添加用户或更改密码。
2 ?% G5 E6 ], Q/ G
2 y3 r- `! H) [6 R5 @$ htpasswd -c .htpasswd sam
3 G$ Y' ~* ?, P: a" Q$ _ 5 q8 {* p: j9 x6 T( ~
New password:
+ _/ @: C/ D1 t" r
& S3 |8 G0 \5 j3 c2 c2 lRe-type new password:
0 {, q# [5 s2 \ ; n" a2 M) Q$ r% J# b+ L; k1 @9 J
Adding password for user sam& A! _  c4 N% {* J% u! y) f

! \1 f0 ~) Y  t9 L/ y + i  ~% ]1 I2 _( [* H: Y% z
4 c. z6 Y: F7 T; S7 A0 S( u
默认的httpd.conf文件包括用于/var/www的AllowOverride None指令。要启用Apache来处理用户认证指令(如读取.htaccess文件),必须将这个指令更改为AllowOverride AuthConfig或将其删除。: G- b( h9 d* v$ W' G
( y- T0 o8 T2 Y4 e  a

& {& A" ]+ ~- i5 R# | 4 I2 u7 W1 m. g; A/ b; m' J/ Y
在Apache已配置为可处理.htaccess文件后,当它收到对文件的请求时,必须从所请求的文件向上遍历目录层次结构一直到根目录,查找.htacess文件,以确定它是否可以提供该请求的文件。此搜索可能会影响性能。通常情况下性能下降不太严重,但如果性能很关键,则这个问题将很棘手。

回复|共 15 个

佚名 发表于 2015-4-27 22:32:23
哥们,给我做个链接吧
佚名 发表于 2015-4-27 22:15:20
机会就像水中的鱼,耐心等待就能上钩。
佚名 发表于 2015-4-27 22:14:43
我怎么就踩不死你呢??
佚名 发表于 2015-4-27 22:33:19
正好你开咯这样的帖
佚名 发表于 2015-4-27 22:30:51
呵呵 高高实在是高~~~~~
亮凌庚 Lv.15 发表于 2015-7-3 15:49:03|浙江 | 查看全部
女人啊真是那句话~~~无理占三分~~忘记怎么说了 呵呵 ~~你帮我想想
swmozowtfl Lv.18 发表于 2015-7-3 15:44:34|美国 | 查看全部
在这个处女都要验证码的时代不得不弄个会员来当每天看贴无数基本上不回 后来发现很傻,很多比我注册晚的级别都比我高,我终于觉悟于是我就把这段文字保存在记事本里,每看一贴就复制粘贴一次。
亮凌庚 Lv.15 发表于 2015-7-3 15:59:32|欧洲 | 查看全部
来电来函..欢迎洽购...
xiaoye Lv.9 发表于 2015-7-3 15:42:43|湖南 | 查看全部
阿额~~~这些人都疯特勒~~~~~
亮凌庚 Lv.15 发表于 2015-7-3 15:35:20|美国 | 查看全部
朕在自己的寝宫~~~~
Acropozelan 发表于 2017-4-11 13:58:13|美国 | 查看全部
做为新人!在这里不敢大声说话!送完经验我就走!
Acropozelan 发表于 2017-4-11 14:06:04|Reserved | 查看全部
看完楼主的帖子,我的心情竟是久久不能平静
wwdu926a 发表于 2017-4-11 14:01:15|荷兰 | 查看全部
系统居然怀疑我灌水,我身边又没有水龙头。哦…明白了,身上有一个……
mwxny 发表于 2017-4-11 14:05:55|美国 | 查看全部
去干吗啊~~~伤心啊~~~

回复

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

得知互动是一个融创意、设计、开发、营销、生活、互联网于一体的专业交流分享平台。
Copyright © 2026 得知互动-专注Ai与站长技术交流社区-Ai交流平台 版权所有 All Rights Reserved. Powered by Discuz! X5.0 鄂ICP备15006301号-5|鄂公网安备 42018502006730号
关灯 在本版发帖 扫一扫添加QQ客服 返回顶部
快速回复 返回顶部 返回列表