所以我搜索了网络,甚至在这里,它给了我this post,但它并没有真正给我想要的答案。
我想在我的服务器上有一个名为 /admin/ 的标准目录,例如www.mysite.com/admin。它将存储网站统计信息等以及有关该网站的其他“秘密”信息。
但是保护该文件夹的最佳做法是什么?当然,我可以使用浏览器 SESSIONS 编写标准登录名,但这太容易绕过 - 冒着 SESSION 劫持的风险。
我读到 .htaccess 保护目录?谁能给我更多的信息?
个人经验中的任何提示也将不胜感激。
谢谢, 弗兰克。
【问题讨论】:
保护此类目录的最佳可靠方法是购买 SSL 证书并要求通过安全连接访问该区域。在这种情况下,会话劫持将非常、非常、非常困难,因为只有少数用户(以及少数会话)甚至可以访问管理面板,并且会话 ID 将通过安全连接加密并且不公开可见。另一个提示是为用户访问主网站(不安全)和同一用户访问管理面板(安全)创建单独的会话 ID。
关于堆栈溢出的另一个主题讨论了advantages and disadvantages of sessions vs HTTP authentication,您可能会发现它有助于确定使用哪个。我个人会坚持使用会话,因为它提供了更大的灵活性,而 HTTP 身份验证为您提供了一个完全不可自定义的标准对话框。
【讨论】:
嗯,就像你说的,你总是可以使用 htaccess 和 htpasswd 进行基本身份验证(配置简单且快速),或者你总是可以使用 php/mysql 之类的东西设置经典的登录用户名/密码。
编辑
这里有一些关于 htaccess/htpasswd 的好信息 http://httpd.apache.org/docs/2.0/howto/auth.html
【讨论】: