登录  
 加关注
查看详情
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

SeaRiver Blog

实力才是你一生最好的依靠!

 
 
 

日志

 
 

Apache的Satisfy详解  

2009-07-21 13:55:56|  分类: apache |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

 最早接触Satisfy,是这样一个情况,一个目录启用了密码保护,想单独开放它的一个子目录,让这个子目录无须密码即可访问,那么需要这样设置:


    <Directory "dir1">
  AllowOverride All
  AuthName "Fwolf's Vault"
  AuthType Basic
  AuthUserFile path/to/pwd/file
  require valid-user
</Directory>
<Directory "dir1/dir2">
  Allow from all
  Satisfy any
</Directory>
这样用户访问dir2的时候就不需要输入密码了。额外说明一点,dir1和dir2都是针对文件地址的,而非url。但这样实现的原理我以前真没想过,直到我碰到了一个蹊跷的问题。

环境和上面的一样,只是我在dir2下面,想禁止对一个文件的访问,于是dir2的设置变为:

<Directory "dir1/dir2">
  Allow from all
  Satisfy any
  <Files secret_file>
    order allow,deny
    deny from all
  </Files>
</Directory>
(deny from all换成allow from someip,即绝对禁止换成只允许指定ip地址,对我后面的描述没有影响)

好了,现在访问那个应该被禁止访问的文件secret_file,由于我本身不在允许ip范围之内,所以应该是不能访问的,可是。。。怎么弹出对话框让输入用户名和密码了?如果用wget访问的话,可以清楚的看到:

401 Authorization Required
Authorization failed.
等等,401错误是密码输入错误,可我明明是绝对禁止访问的设置嘛,而且如果用浏览器访问,并且输入正确的密码居然还是可以访问呢,哪里的设置出了问题?虽然一样都是无法访问,可问题一定要搞清楚才行。

其实,仔细看看Satisfy的官方文档,答案就在其中,Satisfy就是在同时启用了Allow和Require的情况下,指定相关策略的,一共有两个备选值,All表示用户必须同时满足Allow和Require的条件,而Any则是满足其中之一即可。

应用到我的问题上来,从上向下看,因为设置是从上级向下逐步解析的,最下层目录的配置具有最高的优先级,可以覆盖上级目录的设置,在.htaccess里也是一样。dir1中设置密码验证启用了Require;然后下级的dir2启用了Allow,并且用Satisfy any指定用户只要ip符合all或者输入正确密码就能访问,由于ip肯定会符合all这个条件,所以等同于取消了密码限制;最后的secret_file,把Allow进行了限制,注意,在这个时候,用户的ip不符合Allow,按照Satisfy any的定义,服务器自然会去查是否符合两个条件中的另外一个是否能够通过,所以就出现了密码输入框,而不是直接403 Forbidden。

现在问题清楚了吧,只要在secret_file的配置中增加一句:

Satisfy All
覆盖掉dir2中的Satisfy any设置,就可以实现预期的403拒绝访问了。

PS: 记得以前<Files (fileA|fileB)>是可以用的,现在不起作用了,要改成正则才行:<Files ~ (fileA|fileB)>。

 

  评论这张
 
阅读(1521)| 评论(0)

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2018