5

这是布局:

web root
  - admin (dir)
      - index.php
      - js
      - img
      - other files / dirs
  - dir
  - files

到目前为止,我使用 .htaccess passwd 保护了管理目录,因为我想要对该目录中的所有文件(包括 js 脚本、jpg、pdf 等)进行完全访问控制。另一方面,我的自定义 CMS 使用 PHP 会话/cookie 为其他 URL 提供身份验证。我想要完成的是对 .htaccess 受保护的目录使用相同的 PHP 身份验证,避免已经通过 PHP 身份验证的用户弹出用户/密码提示。总之:

  • 我希望管理员目录使用 .htaccess 规则进行身份验证
  • 如果用户已使用 PHP 进行身份验证(以 HTML 表单登录,在未受保护的文件上),则在访问 admin 目录内容时绕过第二个 .htaccess 身份验证过程
  • 如果未经 PHP 身份验证的用户尝试访问管理目录中的内容,则应触发 HTTP 身份验证弹出窗口

我读过的大部分内容都建议将管理目录移到 Web 根目录之外,并使用 readfile 从 PHP 脚本访问文件,我不想这样做。该目录上有动态内容,也有静态内容。我知道 apache 会在加载任何资源之前触发 auth 弹出窗口,所以问题是如何让 apache 知道用户已经过身份验证。还有其他建议/解决方法吗?

4

1 回答 1

9

您可以使用SetEnvIf.htaccess 文件中的变量来检查是否设置了某个 Cookie 值。例如(这不是很安全,只是为了说明):

AuthType Basic
AuthName "Protected Login"
AuthUserFile "/path/to/.htpasswd"
AuthGroupFile "/dev/null"
SetEnvIf Cookie PHPSESSID=.* PASS=1
Order deny,allow
Deny from all
Allow from env=PASS
Require valid-user
Satisfy any

该行SetEnvIf Cookie PHPSESSID=.* PASS=1检查是否使用 PHP 会话 id 设置了 Cookie,如果是,则足以进行Satisfy身份​​验证过程,Allow from env=PASS如果为真,则使其跳过登录提示。

同样,此示例不是很安全,因为在session_start()没有成功的身份验证尝试的情况下调用 PHP 会话 cookie 时已经设置,因此最好设置一个难以猜测的更神秘/随机的 cookie 值。例如:

SetEnvIf Cookie AJNC3Z921dmc4O8P2 PASS=1

这样,如果您AJNC3Z921dmc4O8P2通过 PHP 成功验证设置 cookie 值,这将足以通过验证过程。确保设置适当的 cookie 过期时间,以避免人们长时间通过登录提示。

于 2012-12-28T09:13:54.483 回答