Apache服務(wù)器的用戶認(rèn)證
2024-08-27 18:30:19
供稿:網(wǎng)友
經(jīng)常上網(wǎng)的讀者會遇到這種情況:訪問一些網(wǎng)站的某些資源時���,瀏覽器彈出一個對話框,要求輸入用戶名和密碼來獲取對資源的訪問�����。這就是用戶認(rèn)證的一種技術(shù)。用戶認(rèn)證是保護(hù)網(wǎng)絡(luò)系統(tǒng)資源的第一道防線����,它控制著所有登錄并檢查訪問用戶的合法性���,其目標(biāo)是僅讓合法用戶以合法的權(quán)限訪問網(wǎng)絡(luò)系統(tǒng)的資源��?����;镜挠脩粽J(rèn)證技術(shù)是“用戶名+密碼”�����。
Apache是目前流行的Web服務(wù)器,可運(yùn)行在Linux���、Unix���、Windows等操作系統(tǒng)下����,它可以很好地解決“用戶名+密碼”的認(rèn)證問題。Apache用戶認(rèn)證所需要的用戶名和密碼有兩種不同的存貯方式:一種是文本文件���;另一種是MSQL、Oracle�����、MySQL等數(shù)據(jù)庫。下面以Linux的Apache為例���,就這兩種存貯方式��,分別介紹如何實現(xiàn)用戶認(rèn)證功能,同時對Windows的Apache用戶認(rèn)證作簡要的說明�。
采用文本文件存儲
這種認(rèn)證方式的基本思想是:Apache啟動認(rèn)證功能后���,就可以在需要限制訪問的目錄下建立一個名為.htaccess的文件�����,指定認(rèn)證的配置命令。當(dāng)用戶第一次訪問該目錄的文件時��,瀏覽器會顯示一個對話框�����,要求輸入用戶名和密碼����,進(jìn)行用戶身份的確認(rèn)。若是合法用戶���,則顯示所訪問的頁面內(nèi)容,此后訪問該目錄的每個頁面�����,瀏覽器自動送出用戶名和密碼���,不用再輸入了,直到關(guān)閉瀏覽器為止�。以下是實現(xiàn)的具體步驟:
以超級用戶root進(jìn)入Linux�����,假設(shè)Apache 1.3.12已經(jīng)編譯����、安裝到了/usr/local/apache目錄中。缺省情況下��,編譯Apache時自動加入mod_auth模塊,利用此模塊可以實現(xiàn)“用戶名+密碼”以文本文件為存儲方式的認(rèn)證功能�����。
1.修改Apache的配置文件/usr/local/apache/conf/httpd.conf����,對認(rèn)證資源所在的目錄設(shè)定配置命令�����。下例是對/usr/local/apache/htdocs/members目錄的配置:
<Directory /usr/local/apache/htdocs /members>
Options Indexes FollowSymLinks
allowoverride authconfig
order allow,deny
allow from all
</Directory>
其中���,allowoverride authconfig一行表示允許對/usr/local/apache/htdocs/ members目錄下的文件進(jìn)行用戶認(rèn)證。
2.在限制訪問的目錄/usr/local/apache/htdocs/members下建立一個文件.htaccess�,其內(nèi)容如下:
AuthName "會員區(qū)"
AuthType basic
AuthUserFile/usr/local/apache/members.txt
require valid-user
說明:文件.htaccess中常用的配置命令有以下幾個:
1) AuthName命令:指定認(rèn)證區(qū)域名稱。區(qū)域名稱是在提示要求認(rèn)證的對話框中顯示給用戶的(見附圖)�。
2)AuthType命令:指定認(rèn)證類型。在HTTP1.0中�,只有一種認(rèn)證類型:basic�����。在HTTP1.1中有幾種認(rèn)證類型�,如:MD5���。
3) AuthUserFile命令:指定一個包含用戶名和密碼的文本文件�,每行一對�����。
4) AuthGroupFile命令:指定包含用戶組清單和這些組的成員清單的文本文件��。組的成員之間用空格分開,如:
managers:user1 user2
5) require命令:指定哪些用戶或組才能被授權(quán)訪問�����。如:
require user user1 user2(只有用戶user1和user2可以訪問)
requiresgroupsmanagers (只有組managers中成員可以訪問)
require valid-user (在AuthUserFile指定的文件中任何用戶都可以訪問)
3.利用Apache附帶的程序htpasswd���,生成包含用戶名和密碼的文本文件:/usr/local/apache/members.txt,每行內(nèi)容格式為“用戶名:密碼”�。
#cd /usr/local/apache/bin
#htpasswd -bc ../members.txt user1 1234
#htpasswd -b ../members.txt user2 5678
文本文件members.txt含有兩個用戶:user1,口令為1234��;user2,口令為5678���。注意,不要將此文本文件存放在Web文檔的目錄樹中�,以免被用戶下載。
欲了解htpasswd程序的幫助�����,請執(zhí)行htpasswd -h���。
當(dāng)用戶數(shù)量比較少時,這種方法對用戶的認(rèn)證是方便�、省事的�,維護(hù)工作也簡單。但是在用戶數(shù)量有數(shù)萬人�����,甚至數(shù)十萬人時�����,會在查找用戶上花掉一定時間�,從而降低服務(wù)器的效率���。這種情形,應(yīng)采用數(shù)據(jù)庫方式�。
采用數(shù)據(jù)庫存儲
目前,Apache���、PHP4、MySQL三者是Linux下構(gòu)建Web網(wǎng)站的最佳搭檔����,這三個軟件都是免費(fèi)軟件。將三者結(jié)合起來���,通過HTTP協(xié)議,利用PHP4和MySQL�,實現(xiàn)Apache的用戶認(rèn)證功能�。
只有在PHP4以Apache的模塊方式來運(yùn)行的時候才能進(jìn)行用戶認(rèn)證。為此�����,在編譯Apache時需要加入PHP4模塊一起編譯。假設(shè)PHP4作為Apache的模塊,編譯���、安裝Apache到/usr/local/apache目錄���,編譯���、安裝MySQL到/usr/local/mysql目錄��。然后進(jìn)行下面的步驟:
1.在MySQL中建立一個數(shù)據(jù)庫member,在其中建立一個表users����,用來存放合法用戶的用戶名和密碼。
1)用vi命令在/tmp目錄建立一個SQL腳本文件auth.sql���,內(nèi)容為:
drop database if exists member;
create database member;
use member;
create table users (
username char(20) not null,
password char(20) not null,
);
insertsintosusers values("user1",password("1234"));
insertsintosusers values("user2",password("5678"));
2)啟動MySQL客戶程序mysql���,執(zhí)行上述SQL腳本文件auth.sql的命令����,在表users中增加兩個用戶的記錄���。
#mysql -u root -pmypwd</tmp/auth.sql
2.編寫一個PHP腳本頭文件auth.inc���,程序內(nèi)容為:
<?php
function authenticate() {
Header('WWW-authenticate: basic realm="會員區(qū)"');
Header('HTTP/1.0 401 Unauthorized');
echo "你必須輸入正確的用戶名和口令��。 ";
exit;
}
function CheckUser(, ) {
if ( == ""
== "") return 0;
= "SELECT username,password FROM usersswheresusername='' and password=password('')";
= mysql_connect('localhost', 'root', 'mypwd');
mysql_select_db('member',);
= mysql_query(, );
=mysql_num_rows();
mysql_close();
if (>0) {
return 1; //有效登錄
} else {
return 0; //無效登錄
}
}
?>
函數(shù)Authenticate()的作用是利用函數(shù)Header('WWW-authenticate: basic realm="會員區(qū)"')��,向瀏覽器發(fā)送一個認(rèn)證請求消息,使瀏覽器彈出一個用戶名/密碼的對話框����。當(dāng)用戶輸入用戶名和密碼后���,包含此PHP腳本的URL將自動地被再次調(diào)用����,將用戶名、密碼����、認(rèn)證類型分別存放到PHP4的三個特殊變量:、����、�����,在PHP程序中可根據(jù)這三個變量值來判斷是否合法用戶�。Header()函數(shù)中�����,basic表示基本認(rèn)證類型�����,realm的值表示認(rèn)證區(qū)域名稱�。
函數(shù)Header('HTTP/1.0 401 Unauthorized')使瀏覽器用戶在連續(xù)多次輸入錯誤的用戶名或密碼時接收到HTTP 401錯誤。
函數(shù)CheckUser()用來判斷瀏覽器用戶發(fā)送來的用戶名��、密碼是否與MySQL數(shù)據(jù)庫的相同����,若相同則返回1,否則返回0�。其中mysql_connect('localhost', 'root', 'mypwd')的數(shù)據(jù)庫用戶名root和密碼mypwd�,應(yīng)根據(jù)自己的MySQL設(shè)置而改變。
3.在需要限制訪問的每個PHP腳本程序開頭增加下列程序段:
<?php
require('auth.inc');
if (CheckUser(,)==0) {
authenticate();
} else {
echo "這是合法用戶要訪問的網(wǎng)頁����。"; //將此行改為向合法用戶輸出的網(wǎng)頁
}
?>
把需要向合法用戶顯示的網(wǎng)頁內(nèi)容放到else子句中���,取代上述程序段的一行:
echo "這是合法用戶要訪問的網(wǎng)頁��。";
這樣�����,當(dāng)用戶訪問該P(yáng)HP腳本程序時�����,需要輸入用戶名和密碼來確認(rèn)用戶的身份���。
Windows的Apache用戶認(rèn)證
1.采用文本文件存放用戶名和密碼時���,其方法同前,但需要注意的是表示路徑的目錄名之間�、目錄名與文件名之間一律用斜線“/”分開�����,而不是反斜線“”�����。
2.采用MySQL數(shù)據(jù)庫存放用戶名和密碼時����,首先按下列方法將PHP 4.0.3作為Apache的模塊來運(yùn)行�,然后按上述“采用數(shù)據(jù)庫存儲用戶名和密碼的用戶認(rèn)證”的方法完成。
1)下載Windows版的Apache 1.3.12�����、PHP 4.0.3、MySQL 3.2.32����,將三個軟件分別解壓�、安裝到C:�pache、C:PHP4����、C:mysql目錄。
2) C:PHP4SAPI目錄有幾個常用Web服務(wù)器的PHP模塊文件�����,將其中php4apache.dll拷貝到Apache的modules子目錄(C:�pachemodules)�。
3)修改Apache的配置文件C:�pache�nfhttpd.conf�����,增加以下幾行:
LoadModule php4_module modules/ php4apache.dll
AddType application/x-httpd-php .php3
AddType application/x-httpd-php-source .phps
AddType application/x-httpd-php .php
第一行使PHP4以Apache的模塊方式運(yùn)行�,這樣才能進(jìn)行用戶認(rèn)證����,后三行定義PHP腳本程序的擴(kuò)展名���。
4)在autoexec.bat文件的PATH命令中增加PHP4所在路徑“C:PHP4”,重新啟動電腦�����。
