Apache服務器的用戶認證
2024-08-27 18:28:41
供稿:網友
作者:徐輝
經常上網的讀者會遇到這種情況:訪問一些網站的某些資源時�,瀏覽器彈出一個對話框,要求輸入用戶名和密碼來獲取對資源的訪問�。這就是用戶認證的一種技術。用戶認證是保護網絡系統資源的第一道防線�,它控制著所有登錄并檢查訪問用戶的合法性,其目標是僅讓合法用戶以合法的權限訪問網絡系統的資源��?���;镜挠脩粽J證技術是“用戶名+密碼”。
apache是目前流行的web服務器���,可運行在linux���、unix�、windows等操作系統下���,它可以很好地解決“用戶名+密碼”的認證問題��。apache用戶認證所需要的用戶名和密碼有兩種不同的存貯方式:一種是文本文件���;另一種是msql、oracle��、mysql等數據庫��。下面以linux的apache為例�,就這兩種存貯方式��,分別介紹如何實現用戶認證功能��,同時對windows的apache用戶認證作簡要的說明��。
一. 采用文本文件存儲
這種認證方式的基本思想是:apache啟動認證功能后���,就可以在需要限制訪問的目錄下建立一個名為.htaccess的文件����,指定認證的配置命令。當用戶第一次訪問該目錄的文件時��,瀏覽器會顯示一個對話框���,要求輸入用戶名和密碼��,進行用戶身份的確認��。若是合法用戶�����,則顯示所訪問的頁面內容��,此后訪問該目錄的每個頁面���,瀏覽器自動送出用戶名和密碼,不用再輸入了��,直到關閉瀏覽器為止�����。以下是實現的具體步驟:
以超級用戶root進入linux�,假設apache 1.3.12已經編譯�、安裝到了/usr/local/apache目錄中�����。缺省情況下�,編譯apache時自動加入mod_auth模塊,利用此模塊可以實現“用戶名+密碼”以文本文件為存儲方式的認證功能����。
1.修改apache的配置文件/usr/local/apache/conf/httpd.conf,對認證資源所在的目錄設定配置命令����。
下例是對/usr/local/apache/htdocs/members目錄的配置:
<directory /usr/local/apache/htdocs /members>
options indexes followsymlinks
allowoverride authconfig
order allow,deny
allow from all
</directory>
其中,allowoverride authconfig一行表示允許對/usr/local/apache/htdocs/members目錄下的文件進行用戶認證�����。
2.在限制訪問的目錄/usr/local/apache/htdocs/members下建立一個文件.htaccess��,其內容如下:
authname "會員區"
authtype basic
authuserfile/usr/local/apache/members.txt
require valid-user
說明:文件.htaccess中常用的配置命令有以下幾個:
1)authname命令:指定認證區域名稱�。區域名稱是在提示要求認證的對話框中顯示給用戶的����。
2)authtype命令:指定認證類型�。在http1.0中��,只有一種認證類型:basic�����。在http1.1中有幾種認證類型�,如:md5。
3)authuserfile命令:指定一個包含用戶名和密碼的文本文件�,每行一對。
4)authgroupfile命令:指定包含用戶組清單和這些組的成員清單的文本文件���。組的成員之間用空格分開����,如:managers:user1 user2���。
5)require命令:指定哪些用戶或組才能被授權訪問����。如:
require user user1 user2 (只有用戶user1和user2可以訪問)
require group managers (只有組managers中成員可以訪問)
require valid-user (在authuserfile指定的文件中任何用戶都可以訪問)
3.利用apache附帶的程序htpasswd�,生成包含用戶名和密碼的文本文件:/usr/local/apache/members.txt,每行內容格式為“用戶名:密碼”�����。
#cd /usr/local/apache/bin
#htpasswd -bc ../members.txt user1 1234
#htpasswd -b ../members.txt user2 5678
文本文件members.txt含有兩個用戶:user1,口令為1234;user2�,口令為5678。注意��,不要將此文本文件存放在web文檔的目錄樹中����,以免被用戶下載。
欲了解htpasswd程序的幫助���,請執行htpasswd -h�����。
當用戶數量比較少時�,這種方法對用戶的認證是方便�、省事的,維護工作也簡單�。但是在用戶數量有數萬人�,甚至數十萬人時,會在查找用戶上花掉一定時間���,從而降低服務器的效率�����。這種情形��,應采用數據庫方式�。
二. 采用數據庫存儲
目前,apache�、php4、mysql三者是linux下構建web網站的最佳搭檔�����,這三個軟件都是免費軟件�����。將三者結合起來��,通過http協議�,利用php4和mysql,實現apache的用戶認證功能�����。
只有在php4以apache的模塊方式來運行的時候才能進行用戶認證。為此��,在編譯apache時需要加入php4模塊一起編譯�����。假設php4作為apache的模塊��,編譯�����、安裝apache到/usr/local/apache目錄�����,編譯���、安裝mysql到/usr/local/mysql目錄�。然后進行下面的步驟:
1.在mysql中建立一個數據庫member�����,在其中建立一個表users��,用來存放合法用戶的用戶名和密碼�。
1)用vi命令在/tmp目錄建立一個sql腳本文件auth.sql,內容為:
drop database if exists member;
create database member;
use member;
create table users (
username char(20) not null,
password char(20) not null,
);
insert into users values("user1",password("1234"));
insert into users values("user2",password("5678"));
2)啟動mysql客戶程序mysql��,執行上述sql腳本文件auth.sql的命令�����, 在表users中增加兩個用戶的記錄���。
#mysql -u root -pmypwd</tmp/auth.sql
2.編寫一個php腳本頭文件auth.inc�,程序內容為:
<?php
function authenticate() {
header(www-authenticate: basic realm="會員區");
header(http/1.0 401 unauthorized);
echo "你必須輸入正確的用戶名和口令���。n";
exit;
}
function checkuser($uname, $pwd) {
if ($uname == "" || $pwd == "") return 0;
$query = "select username,password from users where username=$uname and password=password($pwd)";
$db_id = mysql_connect(localhost, oot, mypwd);
mysql_select_db(member,$db_id);
$result = mysql_query($query, $db_id);
$num=mysql_num_rows($result);
mysql_close($db_id);
if ($num>0) {
return 1; // 有效登錄
} else {
return 0; // 無效登錄
}
}
?>
函數authenticate()的作用是利用函數header(www-authenticate: basic realm="會員區")���,向瀏覽器發送一個認證請求消息,使瀏覽器彈出一個用戶名/密碼的對話框��。當用戶輸入用戶名和密碼后�����,包含此php腳本的url將自動地被再次調用,將用戶名�����、密碼��、認證類型分別存放到php4的三個特殊變量:$php_auth_user�����、$php_auth_pw�����、$php_auth_type���,在php程序中可根據這三個變量值來判斷是否合法用戶����。header()函數中�,basic表示基本認證類型,realm的值表示認證區域名稱�����。
函數header(http/1.0 401 unauthorized)使瀏覽器用戶在連續多次輸入錯誤的用戶名或密碼時接收到http 401錯誤。
函數checkuser()用來判斷瀏覽器用戶發送來的用戶名���、密碼是否與mysql數據庫的相同�����,若相同則返回1,否則返回0����。其中mysql_connect(localhost, oot, mypwd)的數據庫用戶名root和密碼mypwd,應根據自己的mysql設置而改變�。
3.在需要限制訪問的每個php腳本程序開頭增加下列程序段:
<?php
require(auth.inc);
if (checkuser($php_auth_user,$php_auth_pw)==0) {
authenticate();
} else {
echo "這是合法用戶要訪問的網頁。"; //將此行改為向合法用戶輸出的網頁
}
?>
把需要向合法用戶顯示的網頁內容放到else子句中���,取代上述程序段的一行:
echo "這是合法用戶要訪問的網頁�����。";
這樣����,當用戶訪問該php腳本程序時����,需要輸入用戶名和密碼來確認用戶的身份���。
三. windows的apache用戶認證
1.采用文本文件存放用戶名和密碼時,其方法同前�,但需要注意的是表示路徑的目錄名之間、目錄名與文件名之間一律用斜線“/”分開��,而不是反斜線“”�����。
2.采用mysql數據庫存放用戶名和密碼時�,首先按下列方法將php 4.0.3作為apache的模塊來運行,然后按上述“采用數據庫存儲用戶名和密碼的用戶認證”的方法完成�。
1)下載windows版的apache 1.3.12、php 4.0.3�����、mysql 3.2.32���,將三個軟件分別解壓���、安裝到c:apache�����、c:php4�����、c:mysql目錄��。
2)c:php4sapi目錄有幾個常用web服務器的php模塊文件,將其中php4apache.dll拷貝到apache的modules子目錄(c:apachemodules)���。
3)修改apache的配置文件c:apacheconfhttpd.conf���,增加以下幾行:
loadmodule php4_module modules/ php4apache.dll
addtype application/x-httpd-php .php3
addtype application/x-httpd-php-source .phps
addtype application/x-httpd-php .php
第一行使php4以apache的模塊方式運行,這樣才能進行用戶認證�,后三行定義php腳本程序的擴展名。
4)在autoexec.bat文件的path命令中增加php4所在路徑“c:php4”���,重新啟動電腦�。
