这是布局:
web root
- admin (dir)
- index.php
- js
- img
- other files / dirs
- dir
- files
到目前为止,我使用 .htaccess passwd 保护管理目录,因为我希望对该目录中的所有文件(包括 js 脚本、jpg、pdf 等)进行完全访问控制。另一方面,我的自定义 CMS 使用 PHP 会话/cookie 对其他 URL 提供身份验证。我想要完成的是对 .htaccess 受保护目录使用相同的 PHP 身份验证,避免为已通过 PHP 身份验证的用户弹出用户/密码提示。总之:
- 我希望管理目录使用 .htaccess 规则进行身份验证
- 如果用户已使用 PHP 进行身份验证(在不受保护的文件上以 HTML 表单登录),则在访问管理目录内容时绕过第二个 .htaccess 身份验证过程
- 如果未经 PHP 身份验证的用户尝试访问管理目录中的内容,则应触发 HTTP 身份验证弹出窗口
我读过的大多数内容都建议将管理目录移到 Web 根目录之外,并使用 readfile 从 PHP 脚本访问文件,但我不想这样做。该目录上有动态内容,也有静态内容。我知道 apache 会在加载任何资源之前触发身份验证弹出窗口,因此问题是如何让 apache 知道用户已经通过身份验证。还有其他建议/解决方法吗?
您可以使用SetEnvIf
.htaccess 文件中的变量来检查是否设置了某个 Cookie 值。例如(这不是很安全,只是为了说明):
AuthType Basic
AuthName "Protected Login"
AuthUserFile "/path/to/.htpasswd"
AuthGroupFile "/dev/null"
SetEnvIf Cookie PHPSESSID=.* PASS=1
Order deny,allow
Deny from all
Allow from env=PASS
Require valid-user
Satisfy any
线路SetEnvIf Cookie PHPSESSID=.* PASS=1
检查 Cookie 是否设置有 PHP 会话 ID,如果是,则足以Satisfy
认证过程和Allow from env=PASS
如果这是真的,则使其跳过登录提示。
同样,这个例子不是很安全,因为 PHP 会话 cookie 已经在以下情况下设置:session_start()
在没有成功进行身份验证尝试的情况下调用,因此最好设置一个难以猜测的更神秘/随机的 cookie 值。例如:
SetEnvIf Cookie AJNC3Z921dmc4O8P2 PASS=1
这样,如果您将 cookie 值设置为AJNC3Z921dmc4O8P2
通过 PHP 成功验证后,这足以通过验证过程。确保设置适当的 cookie 过期时间,以避免人们长时间无法通过登录提示。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)