HOME -> APACHE -> apache-04 Lørdag, 19. august 2017

HOME
FORUM
OPEN DIRECTORY
BOOKMARK
Offentliggjort 2003 - Opdateret n/a

.htaccess og .htpasswd .... #1/4

Denne artikel danner grundlag for efterfølgende artikler omhandlende .htaccess og .htpasswd.
Artiklerne vil på en nem måde forklare hvordan du kan beskytte mapper og filer for uautoriseret adgang.
I den første artikel vil jeg forsøge at give en forklaring på hvordan selve validerings processen foregår, samt give svar på nogle ofte stillede spørgsmål.

Indhold

 

TopHvordan det virker!
Dette skærmbillede er du sikkert blevet konfronteret med før, hvis ikke andet bliver du det nu!



Men hvordan fremkommer dette skærmbillede? .... Det ligger faktisk i din browser! Og i grove træk fungerer det på følgende måde.
  • Via din browser (klienten) sender du en forespørgsel om at tilgå en beskyttet mappe eller fil på serveren.
  • Når en side som er beskyttet rekvireres, svarer Apache med en "401 Authentication Required".
  • Klientens browser modtager denne "401 Authentication Required" header.
  • Hvis browseren understøtter "basic authentication" (det gør de faktisk alle sammen) vil der fremkomme en pop-up boks hvori man indtaster brugernavn og adgangskode.
  • Brugernavn og adgangskode returneres til serveren.
  • Hvis brugernavn og adgangskode valideres true, gives der adgang til den "hemmelige" mappe.
For at undgå at skulle indtaste brugernavn og adgangskode hver gang man tilgår et beskyttet dokument, vil serveren sammen med 401 svaret sende et navn som er associeret til den beskyttede mappe. Denne kaldes for "realm" eller "authentication name". Browseren vil nu gemme brugernavn og adgangskode i dens cache sammen med "authentication realm", altså det associerede navn på det område man ønsker at beskytte.
Sessionen opretholdes så længe browservinduet er åbent.

 

TopKan man logge ud?
Dette er nok et af de mest spurgte spørgsmål overhoved, tror jeg!

Når man først har logget sig ind i et beskyttet område ville det være lækker hvis man også kunne logge ud igen. Desværre kan dette ikke lade sig gøre.

Når der først er oprettet en session via den browser man anvender, er man nødsaget til at lukke browseren ned, for dermed at afbryde sessionen.

Browseren gemmer brugernavn og adgangskode i dens cache sammen med "authentication realm", altså navnet på det område man ønsker at beskytte.
Det er ikke mulig at ændre det på server siden, da det er browseren som husker sessionen. Ergo må browser producenter implementere en logout funktion i deres produkt. Men de har nok ment at dette ikke er nødvendigt. Så, sider du på et offentligt sted og er logget ind i et privat område, så husk at lukke for browseren inden du forlader computeren.

 

TopKryptering af password
Kryptering af password foregår via "base64" kryptering.
Har du brug for kryptering af et password til din .htpasswd-fil, kan du anvende følgende program: .htaccess og .htpasswd generator

 

Copyright © 2002 - 2017
NETeXplorer.dk · All rights reserved Top