認證(Authentication)是指任何識別用戶(hù)身份的過(guò)程。授權(Authorization)是允許特定用戶(hù)訪(fǎng)問(wèn)特定區域或信息的過(guò)程。


相關(guān)模塊和指令
認證和授權涉及到三組模塊。通常，你需要從每一組中選擇至少一個(gè)模塊。

認證類(lèi)型模塊(參見(jiàn)AuthType指令)
mod_auth_basic
mod_auth_digest
認證支持模塊
mod_authn_alias
mod_authn_anon
mod_authn_dbd
mod_authn_dbm
mod_authn_default
mod_authn_file
mod_authnz_ldap
授權支持模塊(參見(jiàn)Require指令)
mod_authnz_ldap
mod_authz_dbm
mod_authz_default
mod_authz_groupfile
mod_authz_owner
mod_authz_user
mod_authnz_ldap模塊既包含認證功能也包含授權功能。mod_authn_alias模塊自身并不實(shí)現認證功能，但是允許其它認證支持模塊以更靈活的方式進(jìn)行配置。

mod_authz_host模塊提供基于主機名、IP地址、請求特征的訪(fǎng)問(wèn)控制，但并不屬于認證支持系統。


簡(jiǎn)介
如果網(wǎng)站上有些敏感信息或只希望為一個(gè)小群體所訪(fǎng)問(wèn)，本文闡述的方法能確保用戶(hù)只能訪(fǎng)問(wèn)被允許的資源。

本文涵蓋了保護站點(diǎn)資源的"標準"方法，大多數管理員將要用到這些方法。


先決條件
本文中討論的指令應該被放進(jìn)主配置文件(通常在<Directory>段中)或者針對單個(gè)目錄的配置文件(.htaccess文件)中。

如果你打算使用.htaccess文件，則必須設置服務(wù)器以允許在這些文件中使用認證指令，即用AllowOverride指令指定哪些指令在針對單個(gè)目錄的配置文件中有效。

既然本文討論認證，就應該對AllowOverride這樣設置：

AllowOverride AuthConfig

如果你希望把這些指令直接寫(xiě)入主配置文件，當然就需要具有對主配置文件的寫(xiě)權限。

而且，你需要對服務(wù)器的目錄結構有所了解，以確定某些文件的位置。這個(gè)并不難，需要時(shí)我們會(huì )做適當的說(shuō)明。


啟用認證
先介紹用密碼來(lái)保護服務(wù)器上的目錄。

首先需要建立一個(gè)密碼文件。這個(gè)文件應該放在不能被網(wǎng)絡(luò )訪(fǎng)問(wèn)的位置，以避免被下載。例如，如果/usr/local/apache/htdocs以外的空間不能被網(wǎng)絡(luò )訪(fǎng)問(wèn)，那么可以考慮把密碼文件放在/usr/local/apache/passwd目錄中。

Apache在其安裝目錄的bin子目錄中提供了htpasswd工具，用于建立密碼文件，可以這樣使用：

htpasswd -c /usr/local/apache/passwd/passwords rbowen

htpasswd會(huì )要你輸入密碼，并要求重新輸入以進(jìn)行確認：

# htpasswd -c /usr/local/apache/passwd/passwords rbowen
New password: mypassword
Re-type new password: mypassword
Adding password for user rbowen

如果htpasswd不在搜索路徑中，則必須使用完整路徑，如：/usr/local/apache/bin/htpasswd

然后修改httpd.conf或.htaccess文件，指示服務(wù)器允許哪些用戶(hù)訪(fǎng)問(wèn)并向用戶(hù)索取密碼。若要保護/usr/local/apache/htdocs/secret目錄，則可以將下列指令寫(xiě)入/usr/local/apache/htdocs/secret/.htaccess或者httpd.conf的<Directory /usr/local/apache/apache/htdocs/secret>段。

AuthType Basic
AuthName "Restricted Files"
AuthUserFile /usr/local/apache/passwd/passwords
Require user rbowen

讓我們逐個(gè)解釋這些指令。AuthType指令選擇對用戶(hù)實(shí)施認證的方法，最常用的是由mod_auth_basic提供的Basic 。必須認識到的很重要的一點(diǎn)是，Basic認證方法并不加密來(lái)自用戶(hù)瀏覽器的密碼，因此，不應該用于高度敏感的數據。Apache中還有另一種更安全的認證方法"AuthType Digest"，即由mod_auth_digest供的摘要認證。目前，只有最新的瀏覽器版本才支持摘要認證。

AuthName指令設置了使用認證的域(Realm)，它起兩個(gè)作用，首先，此域會(huì )出現在顯示給用戶(hù)的密碼提問(wèn)對話(huà)框中，其次，也幫助客戶(hù)端程序確定應該發(fā)送哪個(gè)密碼。

所以，如果一個(gè)用戶(hù)已經(jīng)在"Restricted Files"域通過(guò)了認證，則客戶(hù)端就可以嘗試使用同樣的密碼來(lái)訪(fǎng)問(wèn)同一個(gè)服務(wù)器上任何名為"Restricted Files"域的其他部分，從而使多個(gè)受限區域使用同一個(gè)密碼，以避免用戶(hù)重復輸入。當然，出于安全考慮，如果服務(wù)器變了，客戶(hù)端始終會(huì )要求重新輸入密碼。

AuthUserFile指令設置了密碼文件的位置，也就是剛才我們用htpasswd建立的文件。如果用戶(hù)很多則認證速度會(huì )很慢，因為對每個(gè)請求都必須搜索這個(gè)純文本文件，對此，Apache還支持把用戶(hù)信息存入快速的數據庫文件，mod_authn_dbm模塊提供了AuthDBMUserFile指令，并可以用dbmmanage程序建立和操作這些數據庫。Apache模塊數據庫中還提供了許多其他第三方模塊提供的認證選項。

最后，Require指令設置了允許訪(fǎng)問(wèn)受保護區域的用戶(hù)，下一節將對Require指令作詳細說(shuō)明。


允許多人訪(fǎng)問(wèn)
上述指令只允許一個(gè)人(一個(gè)叫rbowen的用戶(hù))訪(fǎng)問(wèn)這個(gè)目錄，但是多數情況下，都需要允許多人訪(fǎng)問(wèn)，所以就要用到AuthGroupFile指令。

如果想允許多人訪(fǎng)問(wèn)，那么就必須建立一個(gè)組文件以確定組中的用戶(hù)。其格式很簡(jiǎn)單，可以用你喜歡的編輯器建立，例如：

GroupName: rbowen dpitts sungo rshersey

它只是每組一行的一個(gè)用空格分隔的組成員列表。

向已有的密碼文件中增加一個(gè)用戶(hù)，可以輸入：

htpasswd /usr/local/apache/passwd/passwords dpitts

程序的提示和上面的一樣，但是它會(huì )追加到已有的文件中，而不是建一個(gè)新文件(參數 -c 可以強制建立新的密碼文件)。

現在，需要將.htaccess文件修改成這樣：

AuthType Basic
AuthName "By Invitation Only"
AuthUserFile /usr/local/apache/passwd/passwords
AuthGroupFile /usr/local/apache/passwd/groups
Require group GroupName

現在，GroupName組中的成員都在password文件中有一個(gè)相應的記錄，從而允許他們輸入正確的密碼進(jìn)行訪(fǎng)問(wèn)。

除了建立組文件，還有另一種途徑允許多人訪(fǎng)問(wèn)，就是使用如下指令：

Require valid-user

使用上述指令，而不是 Require user rbowen ，可以允許密碼文件中的所有用戶(hù)使用正確的密碼進(jìn)行訪(fǎng)問(wèn)。通過(guò)為每個(gè)組建立一個(gè)密碼文件，這里甚至允許列舉各個(gè)組，其優(yōu)點(diǎn)是Apache只需要檢查一個(gè)文件(而不是兩個(gè))，其缺點(diǎn)是，必須維護眾多密碼文件，而且要確保AuthUserFile指定了一個(gè)正確的密碼文件。


可能存在的問(wèn)題
由于采用了Basic認證的方法，每次向服務(wù)器請求甚至刷新一個(gè)受保護的頁(yè)面或圖片時(shí)都必須校驗用戶(hù)名和密碼，為此，必須打開(kāi)密碼文件并逐行搜索用戶(hù)名，因此，服務(wù)器響應速度會(huì )受一些影響，受影響的程度與密碼文件的大小成正比。

所以，對密碼文件中的用戶(hù)總數存在一個(gè)實(shí)際上的上限，此上限取決于特定的服務(wù)器機器的性能，但是一般有幾百個(gè)用戶(hù)就會(huì )對響應速度有非常明顯的影響，在這種情況下，可以考慮用其他認證方法。


其他認證方法
基于用戶(hù)名和密碼的認證只是方法之一，時(shí)常會(huì )有不需要知道來(lái)訪(fǎng)者是誰(shuí)，只需要知道來(lái)自哪里的情況。

Allow和Deny指令可以允許或拒絕來(lái)自特定主機名或主機地址的訪(fǎng)問(wèn)，同時(shí)，Order指令告訴Apache處理這兩個(gè)指令的順序，以改變過(guò)濾器。

這些指令的用法：

Allow from address

address可以是一個(gè)IP地址(或者IP地址的一部分)，也可以是一個(gè)完整的域名(或者域名的一部分)，還可以同時(shí)指定多個(gè)IP地址和域名。

比如，要拒絕不受歡迎的兜售垃圾的站點(diǎn)：

Deny from 205.252.46.165

這樣，這個(gè)指令所管轄的區域將拒絕所有來(lái)自該地址的訪(fǎng)問(wèn)。除了指定IP地址，也可以指定域名，如：

Deny from host.example.com

另外，還可以指定地址或域名的一部分來(lái)阻止一個(gè)群體：

Deny from 192.101.205
Deny from cyberthugs.com moreidiots.com
Deny from ke

Order可以組合Deny和Allow指令，以保證在允許一個(gè)群體訪(fǎng)問(wèn)的同時(shí)，對其中的一些又加以限制：

Order deny,allow
Deny from all
Allow from dev.example.com

只列出Allow指令不會(huì )得到你想要的結果，因為它在允許指定對象訪(fǎng)問(wèn)的同時(shí)并不禁止其他未列出的對象的訪(fǎng)問(wèn)。所以上例使用的方法是：首先拒絕任何人，然后允許來(lái)自特定主機的訪(fǎng)問(wèn)。