如何应用份认证模块和.htaccess文件保证Web安全

如何应用份认证模块和.htaess文件保证Web安全安全知识-电脑高手网（http://.dngs.）：如何应用份认证模块和.htaess文件保证Web安全 　　要限制对一个网页的访问，可使用Apache和第三方提供的身份认证模块和方法来验证用户的凭据(如用户名和密码)。一些模块支持通过各种数据库(包括NIS和LDAP)进行身份认证。 　　用户认证指令通常放置在.htaess文件中。下面是使用Apache默认身份认证模块(mod_auth)的一个基本.htaess文件。当这个文件放置在/var/中时，会导致Apache要求用户输入密码进行验证，然后浏览器才能访问/var/目录层次结构中的内容。应用时，要用本地服务器的相应值进行替换。 　　# cat .htaess 　　AuthUserFile /var//.htpassd 　　AuthGroupFile /dev/null 　　AuthName "Broser dialog box query" 　　AuthType Basic 　　require valid-user 　　/var//.htpassd是一个.htpassd文件的典型绝对路径名，用户在要求输入用户名和密码的对话框中会看到字符串Broser dialog box query。 　　前面.htaess文件的第二行关闭组功能。第四行指定用户的身份认证类型为Basic，这也是mod_auth模块的默认设置。最后一行告诉Apache哪些用户可以访问受保护的目录。valid-user条目会授权任何用户(用户名在Apache密码文件中并且输入的密码正确)访问该目录。 　　只要Apache可以读取其密码文件，该文件可放在系统上的任何地方。把这个文件与.htaess文件放在同一目录下也是安全的，因为默认情况下，Apache将不会对名字以.ht开头的任何文件的请求进行回复。但是一定不要更改httpd.conf配置文件，以防Apache对名字以.ht开头的文件的请求进行回复。 　　下面的命令将在工作目录中创建(–c)一个带有Sam条目的.htpassd文件。省略–c选项可以在现有.htpassd文件中添加用户或更改密码。 　　$ htpassd -c .htpassd sam 　　Ne passord: 　　Re-type ne passord: 　　Adding passord for user sam 　　默认的httpd.conf文件包括用于/var/的AlloOverride None指令。要启用Apache来处理用户认证指令(如读取.htaess文件)，必须将这个指令更改为AlloOverride AuthConfig或将其删除。 　　在Apache已配置为可处理.htaess文件后，当它收到对文件的请求时，必须从所请求的文件向上遍历目录层次结构一直到根目录，查找.htacess文件，以确定它是否可以提供该请求的文件。此搜索可能会影响性能。通常情况下性能下降不太严重，但如果性能很关键，则这个问题将很棘手。
声明：本文内容由电脑高手网整理，感谢笔者的分享！刊登/转载此文目的在于更广泛的传播及分享，但并不意味着赞同其观点或论证其描述。如有版权或其它纠纷问题请准备好相关证明材料与站长联系，谢谢！