Ho un sito che utilizza la sessione PHP per l'autenticazione. Esiste una directory a cui vorrei limitare l'accesso che non utilizza alcun PHP, è solo piena di contenuto statico.
Semplicemente non so come limitare l'accesso senza che ogni richiesta passi attraverso uno script PHP. Esiste un modo per fare in modo che Apache controlli le credenziali della sessione e limiti l'accesso come Basic Auth?
Risposte:
A meno che tu non abbia modificato le impostazioni, i dati della sessione PHP sono memorizzati in una variante nel suo formato serialize () in una directory temporanea, e non è facile ottenerlo senza usare PHP stesso.
sfortunatamente, sembra che tu voglia la velocità dei file serviti statici mentre autorizzi dinamicamente ogni richiesta, che non sono obiettivi realmente compatibili. Potresti comprendere avendo uno script PHP super leggero a cui poi usi mod_rewrite per riscrivere le richieste ai file al suo interno, il che passa attraverso le cose che vanno bene. Esempio semplicissimo:
.htaccess:
RewriteEngine On
RewriteMap auth prg:auth.php
RewriteRule (.*) ${auth:$1}
auth.php:
#!/usr/bin/php
<?PHP
set_time_limit(0); # This program needs to run forever.
$stdin = fopen("php://stdin","r"); # Keeps reading from standard in
while (true) {
$line = trim(fgets($stdin));
if (isset($_SESSION['USER_LOGGED_IN'])) {
echo $line\n";
} else {
echo "authfailed.html\n";
}
}
in particolare, quello script PHP è in esecuzione per sempre, quindi dovresti riavviare apache se lo cambi, credo.
Tutto questo non è testato, ma è più o meno la direzione in cui penso che dovresti andare.
Riferimenti:
Se avevi un particolare cookie che puoi aspettarti, puoi testare la sua assenza con mod_rewrite e dare un 403 Proibito.
RewriteCond %{HTTP_COOKIE} !LoggedIn=true
RewriteRule .* - [F,L]
Ma, se qualcuno sapesse di aver bisogno di un set di cookie con "LoggedIn = true", potrebbe facilmente aggirare la "protezione".
Una sessione PHP è specifica di PHP. Apache non ha modo di utilizzare alcuna informazione in una sessione PHP. Dovresti avere un modulo di autenticazione specifico per fare la verifica della sessione.
Quello che ho visto fare alla maggior parte delle persone è che uno script PHP gestisca la pubblicazione del contenuto statico in quanto ottiene la richiesta, verifica la sessione, legge il file e invia il contenuto con le informazioni MIME appropriate.
La soluzione convenzionale per quel problema è di reindirizzare ogni chiamata su quella cartella su un file php, che controlla i permessi dell'utente e dopo che legge il file e lo invia al flusso di output o reindirizza l'utente al "nessun permesso" luogo. Per esempio...
Un altro modo complicato per proteggere i tuoi file è generare un token da session_id e un salt statico (e optianally dal percorso del file statico) e controllarlo accedendo al file. Quindi devi rigenerare quel token nel tuo file htaccess. Non so se sia possibile solo con .htaccess, o devi usare php per questo. Ho trovato una soluzione simile qui. Sono convinto al 99% che md5 non sia una funzione di riscrittura mod integrata.
RewriteMapper una prg://…risorsa di script shell che esegue tutta la crittografia e la verifica MD5 effettive. Ho bisogno di testarlo e assicurarmi che funzioni sul mio setup, ma sembra che dovrebbe funzionare con Vanilla Apache + il modulo mod_rewrite.
Il mio piano per risolvere questo problema è adesso
Reindirizzare la richiesta a PHP
RewriteEngine on
RewriteRule ([0-9a-z-_]+)$ authenticateUser.php?&file=$1 [L]
Autentica l'utente in PHP (tutti gli altri metodi di autenticazione sono forse troppo deboli o richiedono la scrittura continua in file)
if ( User::hasPermission() && isSane( $filePath ) ) {
//
header( 'X-Sendfile: ' . $filePath );
}
Usa Apache mod_xsendfile( documenti , github )
Sì a Basic Auth se stai usando mod_php. http://php.net/manual/en/features.http-auth.php