Как обезопасить каталог в Apache, используя сеанс PHP

У меня есть сайт, который использует сессию PHP для аутентификации. Есть один каталог, доступ к которому я бы хотел ограничить, который не использует PHP, он просто полон статического контента.

Я просто не знаю, как ограничить доступ без каждого запроса, проходящего через скрипт PHP. Есть ли способ заставить Apache проверять учетные данные сеанса и ограничивать доступ, как Basic Auth?

Если вы не изменили настройки, данные сеанса PHP хранятся в вариации собственного формата serialize () во временном каталоге, и это не так легко сделать без использования самого PHP.

к сожалению, вам, похоже, нужна скорость статических обслуживаемых файлов при динамической авторизации каждого запроса, что не является действительно совместимой целью. Вы можете сделать компромисс, имея сверхлегкий PHP-скрипт, который вы затем используете mod_rewrite для перезаписи запросов к файлам внутри него, который передает все, что в порядке. Супер простой пример:

.htaccess:

 RewriteEngine On
 RewriteMap auth prg:auth.php
 RewriteRule (.*) ${auth:$1}

auth.php:

#!/usr/bin/php
 <?PHP
 set_time_limit(0); # This program needs to run forever. 
 $stdin = fopen("php://stdin","r"); # Keeps reading from standard in
 while (true) {
        $line = trim(fgets($stdin));
        if (isset($_SESSION['USER_LOGGED_IN'])) {
                echo $line\n";
        } else {
                echo "authfailed.html\n";
        }
 }

Примечательно, что этот PHP-скрипт работает вечно, поэтому я думаю, вам придется перезапустить apache, если вы его измените.

Это все не проверено, но это примерно то направление, в котором, я думаю, вам придется идти.

Ссылки:

• http://httpd.apache.org/docs/1.3/mod/mod_rewrite.html#RewriteMap
• http://onlamp.com/pub/a/apache/2005/04/28/apacheckbk.html
• http://www.wellho.net/resources/ex.php4?item=a603/andy

Если у вас есть определенный cookie, который вы можете ожидать, то вы можете проверить его отсутствие с помощью mod_rewrite и выдать 403 Forbidden.

RewriteCond %{HTTP_COOKIE} !LoggedIn=true
RewriteRule .* - [F,L]

Но если кто-то знает, что ему нужен набор файлов cookie с «LoggedIn = true», то они могут легко обойти вашу «защиту».

Сессия PHP специфична для PHP. Apache не может использовать какую-либо информацию в сеансе PHP. Вам понадобится какой-то модуль аутентификации специально для проверки сеанса.

Я видел, что большинство людей делают, что PHP-скрипт обрабатывает подачу статического контента, так как он получает запрос, проверяет сеанс, читает файл и отправляет контент с соответствующей информацией MIME.

Обычное решение этой проблемы - перенаправить каждый вызов в этой папке в файл php, который проверяет разрешения пользователя, и после этого он читает файл и отправляет его в выходной поток или перенаправляет пользователя на «нет разрешения» сайт. Например...

Еще один хитрый способ защитить ваши файлы - это сгенерировать токен из session_id и статической соли (и опционально из статического пути к файлу) и проверить его при обращении к файлу. Таким образом, вы должны восстановить этот токен в файле htaccess. Я не знаю, возможно ли это только с .htaccess, или вы должны использовать php для этого. Я нашел подобное решение здесь. Я на 99% убежден, что md5 не является встроенной функцией перезаписи модов.

Мой план решить эту проблему сейчас

1. Перенаправить запрос в PHP

   RewriteEngine on
   RewriteRule ([0-9a-z-_]+)$ authenticateUser.php?&file=$1 [L]
   

2. Аутентифицировать пользователя в PHP (все другие методы аутентификации могут быть слишком слабыми или требуют постоянной записи в файлы)

   if ( User::hasPermission() && isSane( $filePath ) ) {
       // 
       header( 'X-Sendfile: ' . $filePath );
   }
   

3. Используйте Apache mod_xsendfile( документы , GitHub )

Да для Basic Auth, если вы используете mod_php. http://php.net/manual/en/features.http-auth.php