Введение

Сегодня я поделюсь своим опытом по аутентификации пользователей на уровне сервера.
Сразу скажу, это не единственный способ защиты информации. Сервер Apache предполагает три варианта разрешения вопроса, будет ли в ответ на запрос предоставлен конкретный ресурс. Критерии, которыми он пользуется, — это аутентификация, авторизация и управление доступом. И мало того, тот способ, что я опишу ниже можно расширить функционалом — в статье мы рассмотрим лишь базовый функционал, который может послужить отправной точкой и инструкцией к дальнейшим действиям. Я перепробовал множество способов защиты и сокрытия информации, в т.ч. SSL, TSL и др., сегодня расскажу вам лишь о аутентификации.

Попытаемся себе представить, для чего нам это нужно.

• Делаете работу для заказчика и нельзя пускать на сайт никого кроме вас и клиента
• Не хотите показывать сайт обществу и лишь несколько людей должны иметь доступ к нему
• Не хотите показывать недоделанную работу - сайт в процессе разработки (Under Construction)
• Пускать на сайт, кроме привелигированного пользователя, нет никакого для вас резона
• Другая причина

Как правило аутентификацией называется любой процесс, с помощью которого проверяется, что некто является именно тем, за кого себя выдаёт. Обычно, такая проверка ограничивается вводом имени пользователя (login) и пароля (password), но может включать в себя любой другой метод, определяющий т.н. тождественность.

Конфигурирование

Защита сайта может быть выполнена в 3 шага

• Создание файла паролей
• Конфигурирование Apache для работы с файлом паролей
• Создание групп пользователей (опционально)

От слов, к делу

Шаг первый.
Пишем в секции <VirtualHost> вашего сайта:

Итак по порядку:
/home/Site.ru/www/My - реальный путь к каталогу с вашим сайтом
FollowSymlinks - наткнувшись на символическую ссылку (`man ln`) Apache её резольвит а не спотыкается
Includes - разрешает SSI
AllowOverride - Какие директивы, объявленные в файле .htaccess могут отменять ранее установленную информацию доступа. В нашем случае All, т.е. все. Эта строка не относится к нашей задаче, она просто для примера. Вы можете ее не использовать.
AuthType - Apache поддерживает 2 типа защиты содержания:

• Basic - базовая авторизация. Шифрование используется я на обеих сторонах, но клиент передает пароль не надежно зашифрованным, т. к не используется ключ шифрования. Это крупный недостаток этого метода. Применяется алгоритм шифрования Base64
• Digest - аутентификация специальным кодом (дайджестом), который использует ключ, конкретно, имя пользователя, пароль, область, требующая аутентификацию, различную информацию о запросе и уникальный код данного запроса, который Apache присваивает каждому соединению. Это однонаправленный метод, и для того, что бы расшифровать это, стороннему человеку требуется слишком много информации об обеих сторонах. Но главный недостаток этого метода в том, что на 2000 год его не поддерживал ни один пользовательский браузер

AuthName - Текст подсказки, которая отображается в браузере при входе на защищенную часть сайта.
AuthUserFile - Содержит информацию о допустимых именах пользователей и их паролях в зашифрованном виде.
Require user - Принцип аутентификации. только пользователи, указанные следующими через пробел, и указавшие верный пароль, смогут войти

Шаг второй.
Создаём пароли

Синтаксис вызова утилиты ясен, но на всякий случай поясню:

• -с - создать новый файл. Если этот параметр не указан, и файл не существует, утилита выдаст ошибку, если файл уже существовал, он будет перезаписан
• -d - утилита будет использовать алгоритм шифрования DES (в C это функция crypt()). По умолчанию используется во всех ОС, но не в Windows
• -m - использовать алгоритм шифрования MD5, который является шифром по умолчанию в Windows
• -p - сохранить пароль в чистом виде, без шифрования. Работает только в Windows
• -s - утилита будет использовать алгоритм шифрования SHA
• -b - в нормальном режиме, без этой опции, утилита получает пароль вводом в стандартный входной поток. При использовании этой опции, после пути к файлу паролей должен идти пароль, и утилита получит пароль из этой опции. Утилита не будет ждать пользовательского ввода, она сразу возвратит управление в оболочку.

Всё.
Проверяем не напортачили ли где: apachectl -t
Перезапускаем сервер: apachectl -k graceful

С уважением.