Apache服務器的用戶認證

Apache服務器的用戶認證  
作者:徐輝  
  
　　引言 

　　經常上網的讀者會遇到這種情況：訪問一些網站的某些資源時，瀏覽器彈出一個對話框，要求輸入用戶名和密碼來獲取對資源的訪問。這就是用戶認證的一種技術。用戶認證是保護網絡系統資源的第一道防線，它控制著所有登錄并檢查訪問用戶的合法性，其目標是僅讓合法用戶以合法的權限訪問網絡系統的資源?；镜挠脩粽J證技術是“用戶名＋密碼”。 
  
　　Apache是目前流行的Web服務器，可運行在Linux、Unix、Windows等操作系統下，它可以很好地解決“用戶名＋密碼”的認證問題。Apache用戶認證所需要的用戶名和密碼有兩種不同的存貯方式：一種是文本文件；另一種是MSQL、Oracle、MySQL等數據庫。下面以Linux的Apache為例，就這兩種存貯方式，分別介紹如何實現用戶認證功能，同時對Windows的Apache用戶認證作簡要的說明。 

　　采用文本文件存儲 

　　這種認證方式的基本思想是：Apache啟動認證功能后，就可以在需要限制訪問的目錄下建立一個名為.htaclearcase/" target="_blank" >ccess的文件，指定認證的配置命令。當用戶第一次訪問該目錄的文件時，瀏覽器會顯示一個對話框，要求輸入用戶名和密碼，進行用戶身份的確認。若是合法用戶，則顯示所訪問的頁面內容，此后訪問該目錄的每個頁面，瀏覽器自動送出用戶名和密碼，不用再輸入了，直到關閉瀏覽器為止。以下是實現的具體步驟： 

　　以超級用戶root進入Linux，假設Apache 1.3.12已經編譯、安裝到了/usr/local/apache目錄中。缺省情況下，編譯Apache時自動加入mod_auth模塊，利用此模塊可以實現“用戶名+密碼”以文本文件為存儲方式的認證功能。 

　　1.修改Apache的配置文件/usr/local/apache/conf/httpd.conf，對認證資源所在的目錄設定配置命令。下例是對/usr/local/apache/htdocs/members目錄的配置： 

　?。糄irectory /usr/local/apache/htdocs /members＞ 

　　Options Indexes FollowSymLinks  

　　allowoverride authconfig  

　　order allow,deny  

　　allow from all 

　?。?Directory＞ 

　　其中，allowoverride authconfig一行表示允許對/usr/local/apache/htdocs/ members目錄下的文件進行用戶認證。 

　　2.在限制訪問的目錄/usr/local/apache/htdocs/members下建立一個文件.htaccess，其內容如下： 

　　AuthName "會員區"  

　　AuthType basic  

　　AuthUserFile/usr/local/apache/members.txt 

　　require valid-user 

　　說明：文件.htaccess中常用的配置命令有以下幾個： 

　　1) AuthName命令：指定認證區域名稱。區域名稱是在提示要求認證的對話框中顯示給用戶的(見附圖)。 

　　2)AuthType命令：指定認證類型。在HTTP1.0中，只有一種認證類型：basic。在HTTP1.1中有幾種認證類型，如：MD5。 

　　3) AuthUserFile命令：指定一個包含用戶名和密碼的文本文件，每行一對。 

　　4) AuthGroupFile命令：指定包含用戶組清單和這些組的成員清單的文本文件。組的成員之間用空格分開，如： 

　　managers:user1 user2 

　　5) require命令：指定哪些用戶或組才能被授權訪問。如： 

　　require user user1 user2(只有用戶user1和user2可以訪問) 

　　requiresgroupsmanagers (只有組managers中成員可以訪問) 

　　require valid-user (在AuthUserFile指定的文件中任何用戶都可以訪問) 

　　3.利用Apache附帶的程序htpasswd，生成包含用戶名和密碼的文本文件：/usr/local/apache/members.txt，每行內容格式為“用戶名:密碼”。 

　　#cd /usr/local/apache/bin 

　　#htpasswd -bc ../members.txt user1 1234 

　　#htpasswd -b ../members.txt user2 5678 

　　文本文件members.txt含有兩個用戶：user1,口令為1234；user2，口令為5678。注意，不要將此文本文件存放在Web文檔的目錄樹中，以免被用戶下載。 

　　欲了解htpasswd程序的幫助，請執行htpasswd -h。 

　　當用戶數量比較少時，這種方法對用戶的認證是方便、省事的，維護工作也簡單。但是在用戶數量有數萬人，甚至數十萬人時，會在查找用戶上花掉一定時間，從而降低服務器的效率。這種情形，應采用數據庫方式。 

　　采用數據庫存儲 

　　目前，Apache、PHP4、MySQL三者是Linux下構建Web網站的最佳搭檔，這三個軟件都是免費軟件。將三者結合起來，通過HTTP協議，利用PHP4和MySQL，實現Apache的用戶認證功能。 

　　只有在PHP4以Apache的模塊方式來運行的時候才能進行用戶認證。為此，在編譯Apache時需要加入PHP4模塊一起編譯。假設PHP4作為Apache的模塊，編譯、安裝Apache到/usr/local/apache目錄，編譯、安裝MySQL到/usr/local/mysql目錄。然后進行下面的步驟： 

　　1.在MySQL中建立一個數據庫member，在其中建立一個表users，用來存放合法用戶的用戶名和密碼。 

　　1)用vi命令在/tmp目錄建立一個SQL腳本文件auth.sql，內容為： 

　　drop database if exists member; 

　　create database member; 

　　use member; 

　　create table users ( 

　　username char(20) not null, 

　　password char(20) not null, 

　　); 

　　insertsintosusers values("user1",password("1234")); 

　　insertsintosusers values("user2",password("5678")); 

　　2)啟動MySQL客戶程序mysql，執行上述SQL腳本文件auth.sql的命令，在表users中增加兩個用戶的記錄。 

　　#mysql -u root -pmypwd＜/tmp/auth.sql 

　　2.編寫一個PHP腳本頭文件auth.inc，程序內容為： 

　?。?php 

　　function authenticate() { 

　　Header('WWW-authenticate: basic realm="會員區"'); 

　　Header('HTTP/1.0 401 Unauthorized'); 

　　echo "你必須輸入正確的用戶名和口令。 "; 

　　exit; 

　　} 

　　function CheckUser(,  { 

　　if ( == "" || == "") return 0; 

　　 = "SELECT username,password FROM usersswheresusername='' and password=password('')"; 

　　 = mysql_connect('localhost', 'root', 'mypwd'); 

　　mysql_select_db('member',); 

　　 = mysql_query(, ; 

　　=mysql_num_rows(); 

　　mysql_close(); 

　　if (＞0) { 

　　return 1; //有效登錄 

　　} else { 

　　return 0; //無效登錄 

　　} 

　　}  

　　?＞ 

　　函數Authenticate()的作用是利用函數Header('WWW-authenticate: basic realm="會員區"')，向瀏覽器發送一個認證請求消息，使瀏覽器彈出一個用戶名/密碼的對話框。當用戶輸入用戶名和密碼后，包含此PHP腳本的URL將自動地被再次調用，將用戶名、密碼、認證類型分別存放到PHP4的三個特殊變量：、、，在PHP程序中可根據這三個變量值來判斷是否合法用戶。Header()函數中，basic表示基本認證類型，realm的值表示認證區域名稱。 

　　函數Header('HTTP/1.0 401 Unauthorized')使瀏覽器用戶在連續多次輸入錯誤的用戶名或密碼時接收到HTTP 401錯誤。 

　　函數CheckUser()用來判斷瀏覽器用戶發送來的用戶名、密碼是否與MySQL數據庫的相同，若相同則返回1，否則返回0。其中mysql_connect('localhost', 'root', 'mypwd')的數據庫用戶名root和密碼mypwd，應根據自己的MySQL設置而改變。 

　　3.在需要限制訪問的每個PHP腳本程序開頭增加下列程序段: 

　?。?php 

　　require('auth.inc'); 

　　if (CheckUser(,)==0) { 

　　authenticate(); 

　　} else { 

　　echo "這是合法用戶要訪問的網頁。"; //將此行改為向合法用戶輸出的網頁 

　　} 

　　?＞ 

　　把需要向合法用戶顯示的網頁內容放到else子句中，取代上述程序段的一行： 

　　echo "這是合法用戶要訪問的網頁。"; 

　　這樣，當用戶訪問該PHP腳本程序時，需要輸入用戶名和密碼來確認用戶的身份。 

　　Windows的Apache用戶認證 

　　1.采用文本文件存放用戶名和密碼時，其方法同前，但需要注意的是表示路徑的目錄名之間、目錄名與文件名之間一律用斜線“/”分開，而不是反斜線“”。 

　　2.采用MySQL數據庫存放用戶名和密碼時，首先按下列方法將PHP 4.0.3作為Apache的模塊來運行，然后按上述“采用數據庫存儲用戶名和密碼的用戶認證”的方法完成。 

　　1)下載Windows版的Apache 1.3.12、PHP 4.0.3、MySQL 3.2.32，將三個軟件分別解壓、安裝到C:pache、CHP4、C:mysql目錄。 

　　2) CHP4SAPI目錄有幾個常用Web服務器的PHP模塊文件，將其中php4apache.dll拷貝到Apache的modules子目錄(C:pachemodules)。 

　　3)修改Apache的配置文件C:pachenfhttpd.conf，增加以下幾行： 

　　LoadModule php4_module modules/ php4apache.dll 

　　AddType application/x-httpd-php .php3 

　　AddType application/x-httpd-php-source .phps 

　　AddType application/x-httpd-php .php 

　　第一行使PHP4以Apache的模塊方式運行，這樣才能進行用戶認證，后三行定義PHP腳本程序的擴展名。 

　　4)在autoexec.bat文件的PATH命令中增加PHP4所在路徑“CHP4”，重新啟動電腦。

wolf2602 回復于：2003-01-17 09:41:38

好東東！

pxlh 回復于：2003-01-19 02:20:07

我安你說的做了，，我在WIN98下啟動APCHE1。37時出現如下提示： multiple <directory>  arguments not (yet) supported

一顆小白菜 回復于：2003-01-19 10:54:15

pxlh,你的配置好像錯誤了，是不是對一個目錄使用了多個<Directory>??？

南非蜘蛛 回復于：2003-01-19 13:12:08

好像是小白菜說得問題

郝君 回復于：2003-08-19 02:31:58

shou xia

yunlei 回復于：2003-08-29 22:57:58

在apache2。0下怎樣做呢？好像不管用

原文轉自：http://www.kjueaiud.com