我可以使用 htaccess 来限制对我的网站的访问并在 .htaccess 中指定用户名/密码,这样我就不必担心密码文件了?
答案1
您绝对可以使用 .htaccess 来限制访问,但如果您想通过用户和密码而不是白名单 IP 地址或类似方式来控制访问,我不知道有什么方法可以避免创建等效的 .htpasswd 文件。
现在轮到你能创建任意数量的 .htpasswd 文件;因此,如果您想要为特定目录创建特定文件,则可以通过以下方式创建 .htpasswd 文件来轻松设置:
htpasswd /usr/local/etc/apache/.your_htpasswd_filename_here username_here
然后使用 .htaccess 文件中的“AuthUserFile”指令指定它。
答案2
不会是那最好将用户和密码放在 .htaccess 文件(或 apache-config 本身)中,主要有两个原因。
瞧,.htaccess 是谎言里面您的网站目录。密码文件应该绝不因为每个人都可以下载它,然后获得完整的有效用户名列表。并且可以离线暴力破解他们的密码。
另一个原因可能是,对于受 BASIC 身份验证保护的网站,您可能拥有大量用户/组。您不想混合服务器配置和身份验证数据库。