- Apache简介
- Apache安装
- Apache虚拟主机
- Apache支持PHP程序
- Apache支持Ruby程序
- Apache Web服务器安全
- Apache日志格式
- 配置Web服务器过程
- Apache绑定指定地址与端口
- Apaceh配置文件
- Apache配置片段
- Apache缓存配置
- Apache内容协商
- Apache动态共享对象(DSO)支持
- Apache环境变量
- Apache日志文件
- Apache将URL映射到文件系统位置
- ApacheApache性能调优
- Apache安全设置
- Apache服务器范围配置
- Apache URL重写
- Apache认证和授权
- Apache访问控制
- Apache CGI动态内容
- Apache .htaccess文件
- Apache反向代理
Apache访问控制
访问控制可以由几个不同的模块完成。其中最重要的模块是mod_authz_core和mod_authz_host。本文中还将讨论使用mod_rewrite来实现访问控制。
1. 主机访问控制
如果您希望根据访问者的主机地址限制访问您网站的某些部分,则可以使用mod_authz_host轻松完成此操作。
Require提供了各种允许或拒绝访问资源的不同方法。结合RequireAll,RequireAny和RequireNone指令,这些要求可以以任意复杂的方式组合,以强制执行您的访问策略。
这些指令的用法是:
Require host address Require ip ip.address
在第一种形式中,地址是完全限定的域名(或部分域名); 如果需要,您可以提供多个地址或域名。
在第二种形式中,ip.address是IP地址,部分IP地址,网络/网络掩码对或network/nnn CIDR规范。可以使用IPv4或IPv6地址。
您可以插入而不是否定特定要求。注意,由于not不是值的否定,因此它不能单独用于允许或拒绝请求。因此,要使用否定拒绝访问,块必须具有一个评估为true或false的元素。例如,如果您有人向您的留言板发送垃圾邮件,并且您希望将其保留,则可以执行以下操作:
<RequireAll>
Require all granted
Require not ip 10.252.46.165
</RequireAll>
来自该地址的访客(10.252.46.165)将无法查看该指令涵盖的内容。相反,如果您拥有机器名称而不是IP地址,则可以使用它。
Require not host host.example.com
而且,如果您想阻止整个域的访问,只能指定地址或域名的一部分:
Require not ip 192.168.205 Require not host phishers.example.com moreidiots.example Require not host gov
可以使用RequireAll,RequireAny和RequireNone指令来强制执行更复杂的需求集。
2. 任意变量的访问控制
使用<If>,您可以根据任意环境变量或请求标头值来允许或拒绝访问。例如,要拒绝基于用户代理(浏览器类型)的访问,您可以执行以下操作:
<If "%{HTTP_USER_AGENT} == 'BadBot'">
Require all denied
</If>
使用Require expr语法,这也可以写成:
Require expr %{HTTP_USER_AGENT} != 'BadBot'
3. 使用mod_rewrite进行访问控制
RewriteRule标志导致发送403 Forbidden响应。使用此方法,可以根据任意条件拒绝对资源的访问。
例如,如果您希望在晚上8点到早上7点之间阻止对资源的访问,则可以使用mod_rewrite执行此操作。
RewriteEngine On
RewriteCond "%{TIME_HOUR}" ">=20" [OR]
RewriteCond "%{TIME_HOUR}" "<07"
RewriteRule "^/fridge" "-" [F]
这将在晚上8点之后或早上7点之前为任何请求返回403 Forbidden响应。此技术可用于您要检查的任何条件。如果首选此方法,还可以重定向或以其他方式重写这些请求。
在Apache 2.4中添加的<If>指令取代了mod_rewrite传统上习惯做的许多事情,但应该先求助于mod_rewrite。
上一篇:Apache认证和授权
下一篇:Apache CGI动态内容
