Еще можно использовать .htaccess для установки пароля на доступ к определенным страницам или разделам Вашего сайта (пароль htaccess).

Делается это путем создания в нужном подкаталоге файла .htaccess, в который пишем следующее:

Директива AuthName

Описание: значение AuthName будет выводиться для посетителя и может использоваться для пояснения запроса авторизации - название области ограниченного доступа (htaccess доступ)

Директива AuthType

Описание: Эта директива выбирает тип аутентификации. Возможны следующие типы: Basic and Digest . Второй может не поддерживаться некоторыми браузерами, поэтому пользоваться им не рекомендуется.

Директива AuthUserFile

Описание: значение AuthUserFile указывает имя файла с паролями для аутентификации пользователей.

---

Файл с паролями .htpasswd может быть создан утилитой htpasswd >>> скачать htpasswd для Windows - 202Кб.

Windows XP - определяет утилиту как опасную программу и выдает предупреждение, в windows 7 вопросов нет, как и в любой антивирусной программе. Так что запускайте смело. Сама утилита без-установочна и работает из любой папки. Можно как сразу получить файл с логином – паролем «Encode and Save» так и создать обычный txt-ный файл и скопировать – вставить в него логин (логины - каждый пользователь вводиться с новой строки) с хешем пароля разделенные двоеточием – «Encode Only».

Еще следует отметить, что наиболее простым способом разграничить доступ различным группа пользователей будет следующий простой прием: хранить более ценные документы в подпапках, заход в каждую из которых требует еще одного логина пароля или содержит лишь логины хеши некоторых доверенных пользователей.

Путь к файлу с паролями .htpasswd задается относительно корня веб-сервера. Храните файл с паролями в папке, доступ к которой закрыт для пользователей - (желательно поместить этот файл вне иерархии вашего веб-сайта, но часто это не позволяют сделать настройки сервера хостинга). Поэтому обычно данный файл храниться в той же папки, в которую он и ограничивает доступ. Так как в стандартной конфигурации веб-сервера данные файлы являются скрытыми и закрытыми для обычного доступа по маске файла «.ht».

Директива AuthName

Если вы не знаете путь от корня сервера то его можно посмотреть - кинув тестовый php-скрипт info.php на сервере со следующим кодом:

Далее набираем в браузере ваш-домен.ру/info.php

В переменной окружения _SERVER["SCRIPT_FILENAME"] Вы увидите ваш путь, приблизительно такого вида: "/home/www/htaccess.net.ru/info.php"

Соответственно для того что бы запаролить нашу тестовую папку "admins" нам нужен следующий путь "/home/www/htaccess.net.ru/admins/" - со слешом в конце папки.

Функция "phpinfo ()" показывает практически всю конфигурацию вашего сервера, поэтому для безопасности не забудьте удалить данный мини скрипт с сервера после окончания настройки.

Директива Require

Описание: Определяет пользователей, которые могут получить доступ

Указывая valid - user вы разрешаете доступ всем пользователям, перечисленным в файле паролей.

Пример: разрешает доступ директории всем пользователям встречающимсмя в файле паролей .htpasswd. В зависимости от настроек хостинга может потребоваться секция директив Limit GET POST смотри в примерах ниже.

Пример: разрешает доступ к директории только 3-м пользователям:

---

ВАЖНОЕ ПРИМЕЧАНИЕ!!!

Стоит отметить, что разместить файл с паролями .htpassw в корне всех доменов в данном примере в директории "www", на некоторых хостингах не удалось - он был не доступен, на других такой вариант срабатывал. Вариант с одним .htpassw для нескольких каталогов - нескольких htaccess вполне работоспособен. Т.е. с одним файлом паролей лежащим в одном домене, могут работать все остальные домены вашего хостинга - сервера. Т.е один логин - пароль на все закрываемые Вами директории.

Что касается прав доступа то форма авторизации работает практически на всех вариантах, как на наиболее встречающихся дефолтных - 755 (стоит заметить крайне небезопасных), так и например на 544 т.е. владелец-5-(чтение-выполнить), группа-4-(чтение), публичные-4-(чтение).

Рабочий пример: разрешает доступ к директории только 1-м пользователю (из практики скажим что для некоторых хостингов секция команд пропущенная в приведущих примерах "Limit GET POST" обязательна, поэтому эксперемнтируем):

Содержимое .htpasswd - сгенерированого и сохраненного утилитой passwd.exe - Encode UNIX Password. Копируем его соотвественно в - htaccess.net.ru/secret

В итоге при попытки открыть - войти в каталог в котором лежит данный .htaccess появляется окошко авторизации для ввода "Имя пользователя" - "Root" и "Пароля"- "12345".

Если введены неверные данные то сервер выдаст 401 код:
401 Unauthorized
Неавторизованный запрос. Этот код результата, передаваемый с заголовком WWW-Authenticate, показывает, что пославший запрос пользователь не имеет необходимых полномочий и что при повторении запроса с указанием данного URI пользователь должен такие полномочия предоставить.

---

Пример: ограничение доступа к определенным файлам (в этом примере ограничен доступ к zip архивам - htaccess запрет)

Пример: ограничение доступа к одному файлу (в этом примере ограничен доступ к конкретному файлу . htpasswd, но обычно о защите данного файла должен позаботиться хостер, в глобальной конфигурации сервера - при попытке открыть .htpasswd - сервер должен выдать 403 ошибку.

Следует помнить, что при таком ограничении доступа пароли передаются по каналам связи в открытом виде и при определенных обстоятельствах могут быть перехвачены злоумышленниками. Поэтому в целях безопасности рекомендуется организовывать доступ к закрытым областям веб-сайта через защищенное SSL -соединение.

Рекламная информация

Недавно освободившиеся домены с PR и ТИЦ:

Сервис http://reg.ru - крупнейшего хостинга и регистратора доменов позволяет подать заявку на регистрацию доменного имени, которое недавно было освобождено прежним Администратором. Освобожденные домены часто имеют высокие показатили ТИЦ и PR и могут быть интересны к приобретению.

Освобожденные домены .RU c ТИЦ:

Ваш скидочный 5% промокод при новой регистрации на REG.RU: BCE5-81C9-2463-2224 Использовать промокод при оплате услуг сможет каждый из зарегистрировавшихся только один раз. Поэтому вначале добавляем в корзину все что нужно, а затем одной операцией вводим купон и проводим оплату.

Наверх

Объем информации: 17331 bytes