问题标签 [mod-auth]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
apache - 跨多个子域使用 Apache 的 mod_auth 进行单点登录?
我有一个域和一组需要身份验证才能访问的子域。我目前正在使用 mod_auth 在 domain.tld 级别对用户进行身份验证(mod_auth basic)。我的目标是在域和所有子域之间进行单点登录。
这些凭证会自动继续到子域,还是通过简单的虚拟主机配置更改,或者有更好的方法来做到这一点?
apache - Apache 基本身份验证
如果这是一个明显的问题,我事先道歉:Apache 2.0 + SSL + 基本身份验证是否可以信任以保护网站?在我看来,SSL 在客户端和服务器之间创建了一个安全连接,因此任何包含明文密码的 HTTP 请求都不应该是安全问题。
谢谢,S。
apache - Apache 设置 mod_auth_ldap 需要每个子目录的设置
我想设置一个具有一组基于 LDAP 的限制的主目录,然后让各种子目录使用其他限制,但只在基目录中完成实际的 LDAP 搜索。例如:
所以基本上,主目录(在这个例子中)只能由 admins 组中的用户访问,而第一个子目录可以由目录中的任何人访问,第二个子文件夹可以被任何人访问谁不在管理员组中。
但我只想为子目录设置 Require 行,而不是在每个子目录上重新设置 LDAP 查询。
即使级别与级别之间存在明显的权限冲突,这是否可能?最深的 .htaccess 文件是否知道 Require 行是指父文件夹中的 LDAP 搜索?
mysql - 使用 MySQL 在 Apache2 中配置身份验证和授权
我正在尝试配置 Apache2,以便我可以使用 MySQL 来验证用户是否可以访问某些页面。授权也需要起作用,以便不同的组可以访问不同的页面。
现在,我用谷歌搜索了很多,但不知道如何做到这一点。至少不适用于我的配置。似乎没有任何版本的 mod_auth_mysql 支持我的配置。
OSX 10.6.4
阿帕奇 2.2
现在,我如何实现这一点,而不是在 php 中创建自己的登录应用程序,而是使用 Apache2 的内置支持?我完全卡在这个上...
提前致谢!
问候, 尼克拉斯
.htaccess - 从具有不同用户名的帐户引用 .htpasswd
我将我的网站推送到具有不同用户名的多个服务器。我想要一个.htaccess
文件,无论我在哪个服务器上,密码都可以保护文件。
问题是AuthUserFile
只需要绝对路径,所以如果我有:
我的用户名是 wjholcomb(主目录是 /home/wjholcomb/)的盒子上出现服务器错误。
security - 使用 .htaccess 文件限制安全目录的重试
有没有办法限制在指定时间长度内尝试访问受 .htaccess 文件保护的目录的次数?
例如。如果用户的详细信息错误 10 次,我可以让用户等待一个小时吗?
有没有其他方法可以减少对 .htaccess 安全目录的字典攻击
java - mod_auth_tkt - java 实现
有没有人使用 Java实现了mod_auth_tkt cookie 生成?
我被困在如何在 Java 中生成 iptstamp (可以在 PHP 中使用 pack 函数完成)和 hextimestamp 。
生成cookie的算法如下:
iptstamp
是一个 8 字节长的字节数组,字节 0-3 以网络字节顺序的二进制数填充客户端的 IP 地址,字节 4-7 以网络字节顺序的二进制数填充时间戳。hextimestamp
是 8 个字符长的十六进制数,表示 iptstamp 中使用的时间戳。token_list
是此用户的可选访问令牌列表,以逗号分隔。
如果为特定区域设置了 TKTAuthToken,则检查此列表。user_data
是可选的
apache - 使用 Apache 进行快速 SHA-2 身份验证,有可能吗?
好吧,我花了几天时间研究这个,我不敢相信 Apache 原生支持的散列函数已经过时了。
我发现了几种方法来做到这一点,它们是 mod_perl 和 mod_authnz_external,它们都太慢了,因为只要调用受保护目录中的任何对象,apache 就会运行它。这意味着用户可能必须在单个会话中进行数百次身份验证。
有没有人设法让 Apache 使用比 MD5 和 SHA-1 更安全的东西,而无需将身份验证从 Apache 移开?Salted SHA-2 将是一个真正的奖励。
谢谢!
apache - htaccess:条件认证
我如何在我的 apache/htaccess 配置中配置它:
我想要对所有文件进行 HTTP 身份验证,但有一个例外。click.php
无需任何身份js/clickheat.js
验证即可从 1.2.3.4 访问这些文件。
我尝试了 FilesMatch,但我无法反转它。所以我不能放在require valid-user
那里。我想使用SetEnv
,但我以后如何检查它?
我的另一个想法是使用 mod_rewrite。好吧,我可以允许从给定主机访问这两个文件并从其他任何地方拒绝它。但是我如何将它与 HTTP-Authentication 链接起来?
所以我最喜欢的解决方案是通过 RewriteCond/RewriteRule 启用 HTTP-Auth。
背景(或我为什么要这样做):我正在尝试确保 clickheat (http://www.labsmedia.com/clickheat/index.html) 安装。1.2.3.4 是远程运行 mod_proxy 并将对这些文件的访问重定向到我们的 clickheat 主机。
mysql - 使用 MySQL 的 SVN 身份验证
我正在尝试通过 MySQL 设置每个存储库 SVN 身份验证,但我遇到了一些问题。
首先mod_authn_dbd和mod_auth_mysql有什么区别?
其次,我已经有一个 MySQL 数据库设置,其中包含一个用于用户、组和权限的表。是否可以使用这些模块中的任何一个链接到我当前的权限系统,其中需要用户名、密码和权限才能访问存储库(最好每个存储库具有读取权限和写入权限)
tbl_users:user_id、user_name、user_hash
tbl_group: group_id, group_name
tbl_permission:permission_id,permission_name
tbl_user_group: user_id, group_id
tbl_group_permission:group_id,permission_id
tbl_user_permission:user_id,permission_id