我只是在编写一个带有管理面板的小网站。由于我将是唯一一个将访问该面板的人,因此我正在考虑而不是进行传统的用户名-密码匹配,只需将简单的 .htaccess 文件添加到 admin 文件夹
<Limit GET POST>
order deny,allow
deny from all
allow from myip
allow from 127.0.01
</Limit>
所以问题是因为我的ip是静态的。这种保护将是安全的,还是我必须通过用户名密码匹配来做到这一点?
此外,如果这个想法是合乎逻辑的,但 .htaccess 需要更多的补充,它们会是什么?
通过 IP 限制是使用密码保护的一种完全有效的替代方法,但访问的灵活性较低。
如果您使用 SSL,那么您可以实现SSLRequire以使事情更加灵活,同时仍然“无密码”(注意线程 MPM 的问题)。
但是,对于使用HTTP 身份验证实现密码保护所需的少量工作,我认为您应该尽可能安全。即使是个人网站,仍然可以被劫持并用于发送垃圾邮件等。
语法是这样的:
<Limit GET POST>
order deny,allow
deny from all
allow from 1.2.3.4
allow from 127.0.01
</Limit>
它应该是安全的,但请记住,如果来自同一服务器的某个人试图访问您的网页,那么使用 127.0.0.1 IP 它不再保护您的网页。
订单呢?
order deny,allow
deny from all
allow from 127.0.0.1