如果站点有 php 会话来强制对站点上用 php 实现的页面进行身份验证/授权,那么相同的逻辑如何强制访问某些文件。
让我们说一个目录中的文件存储库。因此 /var/www/html/ 是通过身份验证保护的,但是,此 PHP 身份验证逻辑不会禁止用户简单地转到 http://site.com/someDirectory/fileIShouldNotAccess.txt 并拉取该文件。
您如何将 php 会话和身份验证与 apache 结合起来以强制执行这种类型的行为?
【问题讨论】:
由于用户请求非 PHP 文件时不会调用 PHP,因此您不能让 Apache 强制执行 PHP 的访问保护。您可以在 Apache 中进行非常粗略且易于伪造的检查,以确保存在会话 ID cookie,但这是非常不安全的。它只是检查 cookie 是否存在,而不是它代表一个有效的会话或用户是否实际被授予访问权限。
这个其他答案可能会有所帮助。 Using PHP/Apache to restrict access to static files (html, css, img, etc)。基本上,您通过 PHP 脚本提供所有受保护的内容,而不是提供直接访问。
【讨论】:
几个答案:
1) 使您的 php 会话使用 HTTP 身份验证。然后您可以使用 .htaccess 文件来控制目录中的文件访问
2) 使用 mod_rewrite 将所有请求重定向到“前端控制器”。让前端控制器管理访问是允许、拒绝还是转发到不同的控制器模块进行进一步处理。
【讨论】:
您可以尝试使用 PHP 进行 HTTP 身份验证。这个article 可能会有所帮助。
【讨论】: