基于用戶的訪問(wèn)控制技術(shù)文摘呢

更嚴(yán)格、有效的控制方法還是基于用戶和對(duì)應(yīng)的口令對(duì)瀏覽客戶進(jìn)行控制。這使得對(duì)這個(gè)目錄進(jìn)行強(qiáng)制性的保護(hù)，瀏覽器用戶必須輸入合法的用戶名和正確的口令才能瀏覽頁(yè)。如果要針對(duì)用戶對(duì)訪問(wèn)服務(wù)器的客戶進(jìn)行控制，首先就要設(shè)置訪問(wèn)控制文件為對(duì)用戶進(jìn)行認(rèn)證，因此要允許目錄訪問(wèn)控制文件中具備 AuthConfig的設(shè)置。

設(shè)置用戶認(rèn)證需要為這個(gè)目錄指定AuthName、AuthType和AuthUserFile 指令，AuthUserFile定義一個(gè)口令文件，那么此后就可以使用require valid-user命令讓客戶輸入名字和正確的口令，根據(jù)這個(gè)口令文件對(duì)用戶的身份進(jìn)行驗(yàn)證。AuthName定義這個(gè)認(rèn)證的標(biāo)識(shí)，用于返回給瀏覽器用戶，起到提示作用。AuthType定義使用的認(rèn)證加密類型，通常使用 Basic，即使用Unix的標(biāo)準(zhǔn)加密算法進(jìn)行加密。

AuthUserFile /usr/local/etc/htpasswdAuthName SecurityAuthAuthType Basicrequire vaild-user

這個(gè)例子里，使用/usr/local/etc/htpasswd作口令文件，使用Basic的加密認(rèn)證方法，并定義AuthName為SecurityAuth。

雖然瀏覽器訪問(wèn)每個(gè)使用這種認(rèn)證方式保護(hù)的頁(yè)都需要先進(jìn)行認(rèn)證，然而不會(huì)每訪問(wèn)一次頁(yè)都讓用戶輸入用戶名和口令，因?yàn)闉g覽器會(huì)將用戶輸入的用戶和口令數(shù)據(jù)保存起來(lái)，每次需要認(rèn)證的時(shí)候就自動(dòng)進(jìn)行認(rèn)證操作。由于認(rèn)證是通過(guò)H EAD請(qǐng)求來(lái)完成的，因此它不會(huì)影響瀏覽器顯示的頁(yè)。然而，用戶有可能使用瀏覽器訪問(wèn)了多個(gè)不同的對(duì)用戶進(jìn)行認(rèn)證的頁(yè)，那么瀏覽器就會(huì)保存了多個(gè)不同的用戶和口令對(duì)，當(dāng)自動(dòng)進(jìn)行認(rèn)證的時(shí)候，瀏覽器必須區(qū)分出應(yīng)該使用哪個(gè)用戶名和口令進(jìn)行認(rèn)證，而區(qū)分就是通過(guò)AuthName的值進(jìn)行的，服務(wù)器將首先將 AuthName的值傳遞給客戶瀏覽器，此后瀏覽器就能發(fā)送正確的用戶和口令進(jìn)行認(rèn)證了。

要使用口令文件來(lái)認(rèn)證合法用戶，首先就必須生成這個(gè)口令文件。當(dāng)認(rèn)證類型為Basic時(shí)，口令文件與Unix 的passwd文件非常類似，甚至可以直接使用系統(tǒng)passwd文件來(lái)作認(rèn)證文件，當(dāng)然由于現(xiàn)代Unix使用了sha dow技術(shù)，/etc/passwd中并沒有保存真實(shí)的加密口令，因此直接使用系統(tǒng)passwd文件進(jìn)行認(rèn)證只能適合那些沒有使用shadow技術(shù)的 Unix系統(tǒng)。而使用shadow技術(shù)的Unix系統(tǒng)的真實(shí)口令文件（FreeBSD 下為sswd）被保護(hù)起來(lái)，讀取它需要root權(quán)限，而Web服務(wù)器通常以普通用戶的權(quán)限運(yùn)行，不能直接使用系統(tǒng)口令對(duì)用戶進(jìn)行認(rèn)證。如果強(qiáng)制使用root權(quán)限啟動(dòng)httpd守護(hù)進(jìn)程來(lái)訪問(wèn)shadow之后的口令，那么必然會(huì)帶來(lái)嚴(yán)重的安全漏洞。

因此一般使用與系統(tǒng)口令相分離的口令文件來(lái)認(rèn)證Web服務(wù)器用戶，這樣即使口令被泄露，并被破譯，造成的安全影響也很小，不至于影響系統(tǒng)的正常運(yùn)行。可以使用Apache附帶的htpasswd命令來(lái)創(chuàng)建口令文件，并設(shè)置用戶及其口令。

$ htpasswd -c .htpasswd user1Adding Password for user1New password:Re-type new password:

引起轟動(dòng)。那也是前蘇聯(lián)航空工業(yè)最后的輝煌。而且據(jù)說(shuō)F-117的隱形原理就是源自一篇前蘇聯(lián)科學(xué)家的技術(shù)論文。 htpasswd的-c選項(xiàng)告訴htpasswd創(chuàng)建一個(gè)新口令文件為.htpasswd，如果沒有這個(gè)選項(xiàng)，htpasswd就將用戶及其口令加入已經(jīng)存在的口令文件中。此后的參數(shù)就是口令文件名和需要增加或改變口令的用戶名。

為了便于管理，可以進(jìn)一步將這些用戶分組，組文件的每一行定義了一個(gè)組及其成員的名字，然后在.htaccess 中使用AuthGroupFile指定這個(gè)目錄使用的組文件的名字，例如：

group1: user1 user2 user3 user4

這條內(nèi)容創(chuàng)建了一個(gè)口令組group1，包括user1,user2,user3,user4成員。

除了可以使用require valid-user要求輸入的用戶必須為口令文件中的合法用戶之外，也可以設(shè)置要求只有特定的合法用戶才能訪問(wèn)的目錄，這就需要使用require user或require group指令。例如使用require user user1要求只有user1用戶才能訪問(wèn)，使用require group g roup1就要求必須是group1組的合法成員才能訪問(wèn)。針對(duì)具體用戶和組的訪問(wèn)控制就進(jìn)一步增加了訪問(wèn)控制的靈活性。

當(dāng)基于用戶的認(rèn)證和基于地址的認(rèn)證綜合使用時(shí)，可以通過(guò)使用satify參數(shù)指定不同的限制條件，如果設(shè)置 satify all，那么必須同時(shí)通過(guò)用戶和地址認(rèn)證才能訪問(wèn)頁(yè)，而設(shè)置satify any，只需要通過(guò)一個(gè)認(rèn)證客戶就能訪問(wèn)這個(gè)目錄了。缺省情況下Satify參數(shù)的值為all。下面為一個(gè)綜合了地址認(rèn)證和用戶認(rèn)證的.htaccess 的例子，這個(gè)例子允許te的計(jì)算機(jī)可以不需認(rèn)證訪問(wèn)這臺(tái)服務(wù)器，而其他位置的用戶必須是 group1組中的合法用戶，或者是user1、user2、user3用戶，才能訪問(wèn)這臺(tái)服務(wù)器。

AuthUserFile /usr/local/etc/.htpasswdAuthGroupFile /usr/local/etc/.htgroupAuthName SecurityAuthAuthType BasicLimit HEAD GET POSTorder deny,allowdeny from allallow from terequire group group1require user user1 user2 user3/Limitsatify any