使用 htaccess 进行基本身份验证，但没有密码文件

Question 1

您绝对可以使用 .htaccess 来限制访问，但如果您想通过用户和密码而不是白名单 IP 地址或类似方式来控制访问，我不知道有什么方法可以避免创建等效的 .htpasswd 文件。

现在轮到你能创建任意数量的 .htpasswd 文件；因此，如果您想要为特定目录创建特定文件，则可以通过以下方式创建 .htpasswd 文件来轻松设置：

htpasswd /usr/local/etc/apache/.your_htpasswd_filename_here username_here

然后使用 .htaccess 文件中的“AuthUserFile”指令指定它。

Answer

您绝对可以使用 .htaccess 来限制访问，但如果您想通过用户和密码而不是白名单 IP 地址或类似方式来控制访问，我不知道有什么方法可以避免创建等效的 .htpasswd 文件。

现在轮到你能创建任意数量的 .htpasswd 文件；因此，如果您想要为特定目录创建特定文件，则可以通过以下方式创建 .htpasswd 文件来轻松设置：

htpasswd /usr/local/etc/apache/.your_htpasswd_filename_here username_here

然后使用 .htaccess 文件中的“AuthUserFile”指令指定它。

Question 2

不会是那最好将用户和密码放在 .htaccess 文件（或 apache-config 本身）中，主要有两个原因。

瞧，.htaccess 是谎言里面您的网站目录。密码文件应该绝不因为每个人都可以下载它，然后获得完整的有效用户名列表。并且可以离线暴力破解他们的密码。

另一个原因可能是，对于受 BASIC 身份验证保护的网站，您可能拥有大量用户/组。您不想混合服务器配置和身份验证数据库。

Answer

不会是那最好将用户和密码放在 .htaccess 文件（或 apache-config 本身）中，主要有两个原因。

瞧，.htaccess 是谎言里面您的网站目录。密码文件应该绝不因为每个人都可以下载它，然后获得完整的有效用户名列表。并且可以离线暴力破解他们的密码。

另一个原因可能是，对于受 BASIC 身份验证保护的网站，您可能拥有大量用户/组。您不想混合服务器配置和身份验证数据库。

相关内容