Unix下使用Apache实现用户认证

wcdz

　　用户认证在网络安全中是非常重要的技术之一，通常主要是为了限制非授权用户的非法访问。其实应用比较简单，比如说我一网站，域名是：www.51ww.com，那么我的首页是允许用户访问的，但是假如我的 http://www.51ww.com/admin目录是我的网站管理目录，我不希望别人访问，为了防止非法登陆和一些SQL Injection等攻击，那么我就可以使用用户认证了，别人只要打开http://www.51ww.com/admin目录或者该目录下的任何文件，都要输入登陆用户名和密码才能查看该目录下的内容，那么就起到了一个屏障的作用，很好的防止了一些非法登陆。

简单讲了下原因，那么我们就简单的说一下如何在Apache中实现该功能。（以下的平台是 FreeBSD5.3 + Apache 2.0.52）

我们要实现该功能，需要两个步骤：

1. 建立密码表

假设我们的apache是安装在/usr/local/apache2下面的，那么我们执行下面的操作：
# cd /usr/local/apache2/bin
# ./htpasswd -c admin.txt admin_login // 在当前目录下建立一个admin.txt的密码文件，存储登陆密码，同时用户是admin_login
那么就会提示你输入密码：
New password: ********
Re-type new password: ********
Adding password for user admin_login

就证明添加成功了，并且把用户名和密码存储到了/usr/local/apache2/bin/admin.txt文件里，默认的密码是加密的，不知道是MD5加密还是SHA加密，反正是不可逆的密码。

2. 修改httpd.conf文件

修改Apache的配置文件httpd.conf文件，是为了指定那个文件需要使用该用户名和密码来访问，那么我们就在 /usr/local/apache2/conf/httpd.conf 添加如下内容：

<Directory "/usr/www/admin">
Options MultiViews
AllowOverride None
AuthType Basic
AuthName "Login User"
AuthUserFile /usr/local/apache2/bin/admin.txt
require user admin_login
</Directory>

上面的定义就是，我们的网站根目录是在 /usr/www下面，我们需要进行认证的目录是在 /usr/www/admin 下，进行认识证的密码文件是在 /usr/local/apache2/bin/admin.txt中，用户名是 admin_login, 同时提示的内容是 Login User。
保存httpd.conf后，重新启动Apache，那么我们现在访问 http://www.51ww.com/admin 就会弹出需要输入用户名和密码对话框。

当然，以上的用户认证不止这么简单，还要有比较复杂的应用，可以参考其他文件，比如下面这几篇：

http://5700.blogdriver.com/5700/113165.html
http://www.sd99.com/image/xiaoran/article/81.html
http://www.5ilinux.com/apache03.html

　　Write By heiyeluren 2005/04/08