官方文档:http://httpd.apache.org/docs/
一、.htaccess文件的理解
- htaccess文件是Apache服务器中的一个配置文件。.htaccess文件(或者"分布式配置文件")提供了针对每个目录改变配置的方法,即在一个特定的目录中放置一个包含指令的文件,其中的指令作用于此目录及其所有子目录。
- 不建议使用.htaccess文件。.htaccess文件应该被用在内容提供者需要针对特定目录改变服务器的配置而又没有root权限的情况下。如果服务器管理员不愿意频繁修改配置,则可以允许用户通过.htaccess文件自己修改配置。
二、身份验证与授权
1、 创建密码文件
# htpasswd -c /usr/local/apache/passwd/passwords rbowen
New password: mypassword
Re-type new password: mypassword
Adding password for user rbowen
2、 实现允许通过密码验证查看文件夹
用文件保存密码
AuthType Basic
AuthName "Restricted Files"
# (Following line optional)
AuthBasicProvider file
AuthUserFile "/usr/local/apache/passwd/passwords"
Require user rbowen
用数据库保存密码(比用文件保存密码效率高)
<Directory "/www/docs/private">
AuthName "Private"
AuthType Basic
AuthBasicProvider dbm
AuthDBMUserFile "/www/passwords/passwd.dbm"
Require valid-user
</Directory>
AuthType
详细内容链接:http://httpd.apache.org/docs/2.4/en/mod/mod_authn_core.html#authtype
描述:给目录选定认证类型
语法:AuthType None|Basic|Digest|Form
语境:Directory、 .htaccess
备注:要实现身份验证,还需要使用AuthName和Require指令。如果没有给子目录指定新的认证类型,则子目录继承上级目录的认证类型
AuthName
描述:设置了使用认证的域(Realm)
作用:
- 此域会出现在显示给用户的密码提问对话框中
- 帮助客户端程序确定应该发送哪个密码。
AuthBasicProvider
描述:设置该区域认证的方式
语法:AuthBasicProvider provider-name [provider-name] ...
默认:AuthBasicProvider file
语境:Directory、 .htaccess
备注:查询提供者(provider),直到提供者找到所请求的用户名的匹配为止,此时唯一的提供者将尝试检查密码。验证密码失败不会导致将控制传递给后续提供程序。
| 模块名 | 说明 | 参数 |
|---|---|---|
| mod_authn_dbm | 模块提供的DBM数据库认证支持 | dbm |
| mod_authn_file | 模块提供的纯文本文件认证支持 | file |
| mod_authn_dbd | 模块提供的SQL数据库认证支持 | dbd |
| mod_authnz_ldap | 模块提供的LDAP服务进行认证支持 | ldap |
AuthUserFile
描述:设置了密码文件的位置,也就是我们用htpasswd建 立的文件。
备注:如果用户很多则认证速度会很慢,因为对每个请求都必须搜索这个纯文本文件,对此,Apache还支持把用户信息存入快速的数据库文件,mod_authn_dbm模 块提供了AuthDBMUserFile指 令,并可以用dbmmanage程 序建立和操作这些数据库。
Require
描述:设置了允许访问受保护区域的用户
备注:在大多数情况下,一个完整的认证和授权的配置,Require必须附有 AuthName,AuthType和 AuthBasicProvider或 AuthDigestProvider 指令以及诸如 AuthUserFile 和AuthGroupFile以正常工作(以定义用户和组)。
| 语法 | 作用 |
|---|---|
| Require all granted | 无条件接入。 |
| Require all denied | 访问被无条件拒绝。 |
| Require env env-var [env-var] ... | 只有在给定的环境变量被设置的情况下才允许访问。 |
| Require method http-method [http-method] ... | 访问只允许给定的HTTP方法。 |
| Require expr expression | 如果表达式计算结果为true,则允许访问。 |
| Require user userid [userid] ... | 只有指定的用户可以访问资源。 |
| Require group group-name [group-name] ... | 只有指定组中的用户才能访问资源。 |
| Require valid-user | 所有有效的用户都可以访问资源。 |
| Require ip 10 172.20 192.168.2 | 指定IP地址范围内的客户端可以访问资源。 |
3、实现多人访问
- 如果想允许多人访问,那么就必须建立一个组文件以确定组中的用户。其格式很简单,可以用你喜欢的编辑器建立。文件内容如下:
GroupName: rbowen dpitts sungo rshersey
其格式为每个组一行,用户名用空格隔开 - 向已有的密码文件中增加一个用户,可以输入:
htpasswd /usr/local/apache/passwd/passwords dpitts
程序的提示和上面的一样,但是它会追加到已有的文件中,而不是建一个新文件(参数 -c 可以强制建立新的密码文件)。 - 修改配置文件
AuthType Basic
AuthName "By Invitation Only"
# Optional line:
AuthBasicProvider file
AuthUserFile "/usr/local/apache/passwd/passwords"
AuthGroupFile "/usr/local/apache/passwd/groups"
Require group GroupName
现在,GroupName组中的成员都在password文件中有一个相应的记录, 从而允许他们输入正确的密码进行访问。
Allow和Deny指 令可以允许或拒绝来自特定主机名或主机地址的访问,同时,Order指 令告诉Apache处理这两个指令的顺序,以改变过滤器。
4、<RequireAll>、<RequireAny>、<RequireNone>
Apache2.4使用require指令代替Order、Allow、Deny指令的组合。但是Apache2.4将Order、Allow、Deny指令移到mod_access_compat模块做兼容。
-
<RequireAll>与</RequireAll>用于包含一组授权指令,其中没有任何一个指令失败,并且至少一个授权指令必须成功以使<RequireAll>指令成功。 -
<RequireAny>与</RequireAny>用于包含一组授权指令,至少一个授权指令必须成功以使<RequireAny>指令成功。 -
< RequireNone >与</RequireNone >用于包含一组授权指令,所有指令都不成功以使< RequireNone >指令成功。 - Order控制Allow和Deny指令的执行顺序,后执行的规则会覆盖先执行的规则。
