我想用htpasswd文件而不是文件夹来访问某些URL,这是可能的吗? 例如,我想限制url: www.example.com/pages/id/227/Restricted_Page 但是允许访问其他url,例如: www.example.com/pages/id/100/Normal_Page 这可能吗? url的“pages”部分是指pages.php文件,“id”部分是该文件中的函数名称。 想要这样做的原因是由于迁移现有的限制列表,以另一个站点的htpasswd文件的forms。 非常感谢。
我会使用htpasswd保护我的网站的文件夹。 我使用lighttpd我已经写入下面的代码到lighttpd.conf # Limit access to ispgen auth.backend = "htpasswd" auth.backend.htpasswd.userfile = "/etc/lighttpd/htpasswd/.htpasswd" auth.require = ( "/var/www/florian-wirths.de/ispgen" => ( "method" => "basic", "realm" => "ISPGen", "require" => "valid-user" ), ) 但它不适合我。 我做错了什么?
我试图为我的本地主机中的目录实施htaccess密码保护。 我的htaccess文件位于/home/Server/Dev 。 我想保护的目录是/Dev/ 。 我的.htaccess文件有以下内容: AuthName“限制区域” AuthType基本 AuthUserFile /home/admin/.htpasswd AuthGroupFile / dev / null 要求有效的用户 我的.htpasswd文件位于/home/admin/.htpasswd并具有以下内容: – 斯帕克:19m8GEYhMZvMY 但是当我尝试访问http://localhost/Dev/ ,不会询问密码,并且可以直接访问该URL。 任何人都可以指出我做错了什么。
我有一个使用.htpasswd / .htaccess HTTP身份validation保护的目录。 在目录的.htaccess文件中,我有这个: SSLRequireSSL <Files .htaccess> order allow,deny deny from all </Files> AuthUserFile /var/www/xyz/.htpasswd AuthName "Restricted Area" AuthType Basic Require valid-user 当我到受保护的目录中的一个页面时,我被迫按照我所希望的SSLRequireSSL指令https。 这意味着,在我对login凭据提出质疑的时候,浏览器(Firefox)地址始终以HTTPS://开头。 这很好,但是直到我input证书并进入受保护的目录中的页面之后,SSL指示挂锁符号才出现。 我担心这可能意味着我input的密码以某种方式在SSL连接形成之前发送,因此以纯文本而不是SSL编码传递。 这是一个有效的关注吗? 谢谢。
我是nginx新手,我非常喜欢它与php-fpm结合的速度。 我想保护一个文件夹 location / { try_files $uri $uri/ $uri.php /; auth_basic "restricted"; auth_basic_user_file /www/config/global.passwd; } 这是通过访问/ ,但打在/test.php它不要求密码。 它确实要求在/test/所以这只适用于文件夹。 如何包含文件以进行保护?
我们只希望build立一个网站来进行演示,我们可以: 通过HTTP Basic Authinput用户名和密码,从互联网的任何地方访问。 为了便于使用,我们希望不必从办公室通过HTTP Basic Auth,我们的办公室将从202.161.24.210连接。 演示网站的某些部分需要自行发出REST请求,因此我们希望将127.0.0.1和:: 1列入白名单。 我们似乎已经达到了2和3,但是1并没有像我们想象的那样工作,我们的用户不断获得HTTP基本authentication用户名和密码的重新authentication,即使他们已经被authentication,并且正在进入不同的页面网站。 我们从日志中注意到,在访问某些资产时他们会收到以下错误消息: [Tue Jun 09 10:50:03.442834 2015] [access_compat:error] [pid 5740:tid 140705259312896] [client 78.52.242.163:62774] AH01797: client denied by server configuration: /var/www/docroots/stage/lib/yui/build/moodle-core-checknet/assets/checknet.txt, referer: http://stage.example.org/mod/scorm/player.php 这是我们的Apache vhost: <VirtualHost *:80> ServerName stage.example.org DocumentRoot /var/www/docroots/stage <Directory /var/www/docroots/stage> Options Indexes FollowSymLinks MultiViews AllowOverride None # Only visible on Office network or anyone […]
我用这个configuration在apache中创build了一个虚拟主机 Alias /my /srv/my <Location /my> AuthType basic AuthName "private area" AuthBasicProvider file AuthUserFile /var/www/vhosts/my/mypass Require valid-user </Location> 我在浏览器中inputurl,被要求input密码但是拒绝访问。 所有进一步的请求被拒绝而不询问(caching?)。 问题是它不会接受我的passwd,即使我更新了passwd文件,所以我一定会使用正确的。
更新:克雷格build议我现在正在尝试fail2ban。 即使我也有这个问题。 failregex虽然没有find任何结果。 我在jail.local中启用了所有apache *,这里是我的apachelogging错误: [Fri Jul 25 11:31:20.758218 2014] [auth_basic:error] [pid 4959] [client 8.8.8.8:12767] AH01617: user GOLD: authentication failure for "/Folder": Password Mismatch [Fri Jul 25 11:31:22.941978 2014] [auth_basic:error] [pid 4959] [client 8.8.8.8:12767] AH01618: user asd not found: /Folder 这里是failegex apache-auth.conf如何configuration为: failregex = ^%(_apache_error_client)s user .* (authentication failure|not found|password mismatch)\s*$ 我也尝试添加这个代码,但仍然无法正常工作 failregex = [[]client […]
我在根目录下设置了WordPress,但是我有一个与WordPress无关的子文件夹。 我只是移动服务器,所以之前,如果我去.com/admin/我会得到该子文件夹。 现在,我(和其他人)被redirect到.com/wp-admin/ (或者被要求用计划redirect到wp-adminlogin)。 我以为服务器/ Apache会先说“哦,这里是你的文件夹/文件,不需要打扰这个.htaccess,谢谢!” 而不是“哦,我必须通过这个.htaccess运行,哦,你匹配这个WordPress的,所以你redirect到/index.php,谢谢! (根index.php是WordPress。) 根位置中的.htaccess是标准WP规则和WP-Supercache规则。 order allow,deny #ip blocking allow from all Options -MultiViews RewriteEngine on # BEGIN WPSuperCache <IfModule mod_rewrite.c> RewriteEngine On RewriteBase / #If you serve pages from behind a proxy you may want to change 'RewriteCond %{HTTPS} on' to something more sensible AddDefaultCharset UTF-8 RewriteCond %{REQUEST_URI} !^.*[^/]$ RewriteCond […]
我有一个部署与Apache 2.2.22服务器后清漆。 我想完成的是用htpasswd保护一个目录的密码,但是对于来自ips的某些用户来说这个访问是不需要authentication的。 AuthType Basic AuthName "test" AuthUserFile /www/.htpasswd Require valid-user order deny,allow deny from all SetEnvIF X-Forwarded-For "1.2.3.4" AllowIP Allow from env=AllowIP Satisfy any 我现在所做的是这样的,这是一个解决方法,但是它正在工作。 如果X-Forwarded-For IP(客户端)是1.2.3.4,那么让他无需validation就可以观看页面。 这个问题是不安全的,客户端可以设置一个X-Forwareded-For标头并绕过authentication。 我已经尝试了Apache RPAF模块: <IfModule rpaf_module> RPAFenable On RPAFsethostname On RPAFproxy_ips 127.0.0.1 varniship </IfModule> 理论上应该限制来自代理的X-Forwarded-For请求,我甚至不确定在这种情况下我需要这个模块,因为代理将总是把X-Forwarded-For客户端IP放在它的后面。 所以要求如下: X-Forwarded-For: <varniship>, clientip 客户可以再次操纵客户。 有一个更好的方法吗?