使用 htaccess 进行基本身份验证,但没有密码文件

使用 htaccess 进行基本身份验证,但没有密码文件

我可以使用 htaccess 来限制对我的网站的访问并在 .htaccess 中指定用户名/密码,这样我就不必担心密码文件了?

答案1

您绝对可以使用 .htaccess 来限制访问,但如果您想通过用户和密码而不是白名单 IP 地址或类似方式来控制访问,我不知道有什么方法可以避免创建等效的 .htpasswd 文件。

现在轮到你创建任意数量的 .htpasswd 文件;因此,如果您想要为特定目录创建特定文件,则可以通过以下方式创建 .htpasswd 文件来轻松设置:

htpasswd /usr/local/etc/apache/.your_htpasswd_filename_here username_here 

然后使用 .htaccess 文件中的“AuthUserFile”指令指定它。

答案2

不会是最好将用户和密码放在 .htaccess 文件(或 apache-config 本身)中,主要有两个原因。

瞧,.htaccess 是谎言里面您的网站目录。密码文件应该绝不因为每个人都可以下载它,然后获得完整的有效用户名列表。并且可以离线暴力破解他们的密码。

另一个原因可能是,对于受 BASIC 身份验证保护的网站,您可能拥有大量用户/组。您不想混合服务器配置和身份验证数据库。

相关内容