Apache Httpd服务器之认证与授权

有大概1个月的时间没有继续写关于技术的文章了，在这一个月的时间除了过年休息了2天外，其它时间我都在开发自己的个人网站，这是一个能帮助PHPer及从事运维的兄弟便捷搭建LAMP配置环境的功能性网站，稍后会详细介绍下，从今天开始，我会继续撰写关于Httpd服务器的一些配置文章。此篇文章，我们主要探讨下关于Httpd服务器的认证及授权。

所谓认证，在我的理解就是用户通过一个凭证进入服务器的过程，而授权是用户是否有权限获取服务器中的某个资源。认证负责的是整体，授权负责的是局部。

Httpd提供浏览器认证功能，也就是用户在浏览器输入想进入的网址后，浏览器弹出一个要求用户输入用户名及密码的认证框，当用户输入正确的用户名及密码后，即能进入到网站内获取资源。此功能可以脱离应用逻辑达到认证的功能，无需应用层编写专门的认证程序。如果你懒得编写专门的认证代码，又想实现认证功能的话，可以利用此项功能来偷个懒=。=

Httpd提供的授权功能，可以在认证的基础上继续对服务器资源加以保护，它能根据IP、子网、指定用户或环境变量来判断用户是否对某一目录具有读取权限。当然，授权与认证没有必然的联系，即使不用认证，也可以单独设置授权。下面，我们就一起来看看Httpd的认证与授权是如何进行配置的。

首先谈谈认证，Httpd的认证有明文认证与摘要认证两种，明文认证是以明文的方式将用户名与密码发送至服务器，服务器接收到用户名及密码后在认证文件或数据库中进行比对，以此判断是否成功。由于使用明文发送，所以在非SSL链接的情况下具有一定的风险。摘要认证，是将用户输入的密码进行散列算法后发送给服务器，一定程度上提高了用户密码的安全性，但是摘要认证不是每个浏览器都支持，所以在使用摘要算法时需在多个浏览器下测试。

具体的认证过程，Httpd提供了文本、数据库两种方式。也就是我们可以把合法的用户名密码存在文本文件或数据库中。下面我们分别介绍这几种认证的配置方法。

方案1：明文认证+文本认证

首选，我们需要创建我们的“密码本”，由htpasswd脚本创建。它位于你Httpd的安装目录下/bin目录下，与httpd命令在一起。通过./htpasswd -c "密码本路径" "用户名"方法创建。如我想将密码本创建为/usr/local/httpd/users/auth_basic，设置用户名为wangwei，那么该命令格式如下：./htpasswd -c /usr/local/httpd/users/u_basic wangwei。此时会弹出命令提示符要求你输入密码，设置你想要的密码后即可。

假如我们想在服务器文档根目录下设置认证，那么将进行如下配置：

LoadModule unixd_module modules/mod_unixd.so
LoadModule alias_module modules/mod_alias.so
LoadModule mime_module modules/mod_mime.so
LoadModule cgid_module modules/mod_cgid.so
LoadModule authz_core_module modules/mod_authz_core.so
LoadModule authn_core_module modules/mod_authn_core.so
LoadModule auth_basic_module modules/mod_auth_basic.so
LoadModule authn_file_module modules/mod_authn_file.so
LoadModule authz_user_module modules/mod_authz_user.so
LoadModule auth_digest_module modules/mod_auth_digest.so
LoadModule authn_dbm_module modules/mod_authn_dbm.so
LoadModule dbd_module modules/mod_dbd.so
LoadModule authn_dbd_module modules/mod_authn_dbd.so

#mod_unixd.so mod_mime.so为Httpd的核心模块，必须加载。以mod_authz，mod_authn为前缀的即是认证模块。

#使用文本认证，我们只需进行一般编译工作即可，但如果使用数据库认证，

#则需要重新编译apr-util，是它生成一个名为apr_dbd_mysql.so的动态链接库。
Listen 80
ServerName localhost
DocumentRoot "/usr/local/httpd/htdocs"
<Directory "/usr/local/httpd/htdocs">         #要在文档根目录下设置认证，那么就在根目录容器下进行认证设置
AuthName auth                                 #认证名，可以随便起一个英文字符，在浏览器弹出的认证框上将会显示此名字
AuthType Basic                                #设置认证类型为基本认证
AuthBasicProvider file                        #设置为文本认证
AuthUserFile /usr/local/httpd/users/u_basic        #密码本的位置
Require valid-user                            #指定只有正确的用户才能进入此目录
</Directory>

我的服务器地址为192.168.1.11，进行配置后，在浏览器输入http://192.168.1.11/index.html后即弹出认证框：

是不是很简单？输入刚才设置的用户名密码后即进入了页面。

方案2：明文认证+SDBM认证

SDBM是Linux提供的一种文件型数据库，如果你不想安装MySQL，又有较多的用户需要部署。那么使用SDBM是一个好的选择。SDBM的密码本不能用htpasswd脚本生成，Httpd也提供了它的密码本生成器，名为htdbm。在htpasswd同级目录下即可找到。使用./htdbm-c "密码本路径" "用户名"方法创建。如我想将密码本创建为/usr/local/httpd/users/auth_sdbm ，设置用户名为wangwei，那么该命令格式如下：./htdbm-c /usr/local/httpd/users/auth_sdbm wangwei。此时会弹出命令提示符要求你输入密码，设置你想要的密码后即可。

如果想达到方案1的目的，并使用SDBM认证，则只需改动Directory容器下的配置即可：

<Directory "/usr/local/httpd/htdocs">
AuthName auth
AuthType Basic
AuthBasicProvider dbm    #使用dbm认证
AuthDBMUserFile /usr/local/httpd/users/auth_sdbm #密码本位置
Require valid-user
</Directory>

再次提醒下，如果你要使用数据库认证，必须通过apr编译出apr_dbd_mysql.so动态链接库，并把它放在linux能自动搜索到的lib目录下。

方案3：明文认证+MySQL认证

要使用MySQL认证，必须先安装MySQL服务器。那么MySQL的“密码本”该如何设置呢？那就是建立数据库和表咯。下面提供一下基本步骤。首先创建一个数据库，名为auth，在auth库内建立一个表，名为users，users内有3个字段，一个id为自增长数字，一个user列，用于存放用户名。一个password列，用来存放密码。然后将你想要设置的用户名密码存放在表内。密码必须是经过CRYPT函数加密过的，可以通过htpasswd脚本获取，如通过/usr/local/httpd/bin/htpasswd -c /usr/local/httpd/users/auth_mysql wangwei 创建一个用户名为wangwei的密码本，输入密码123456后，生成了名为auth_mysql的文件，查看auth_mysql后发现里面有一条记录为wangwei:$apr1$FXx0wpMP$zr4ot39Ef0qK1TdoVMNjR0，那么wangwei:后面的即为加密后的密码，把该字符串存入password列即可。

Httpd配置文件内的配置如下：

#方案1中的LoadModule指令先加载进来

DBDriver mysql #DB驱动为mysql
DBDParams "host=192.168.1.11 port=3306 dbname=auth user=root pass=123456" #连接字符串，懂mysql的应该都认识
DBDMin 1
DBDKeep 2
DBDMax 10
DBDExptime 60
Listen 80
ServerName localhost
DocumentRoot "/usr/local/httpd/htdocs"
<Directory "/usr/local/httpd/htdocs">
AuthName auth
AuthType Basic
AuthBasicProvider dbd 设置使用dbd认证
AuthDBDUserPWQuery "SELECT `password` FROM users WHERE `user`=%s" #设置查询SQL
Require valid-user
</Directory>

方案4：摘要认证+文本认证

摘要认证的配置与基本认证几乎一样，只有两点不同，一是摘要认证需用htdigest创建密码本，二是摘要认证需配置一个认证域。htdigest脚本与htpasswd脚本在同一目录层次。创建方法如下：./htdigest -c "密码本路径" "域名称" "用户名"。如./htdigest -c /usr/local/httpd/users/auth_digest auth wangwei。域名称必须与配置内的AuthName指令设置的一致。而认证域是一个URI，按照方案1的目的，我们将它设置为/。

配置方法如下：

<Directory "/usr/local/httpd/htdocs">
AuthName auth
AuthType Digest #设置为摘要认证
AuthDigestProvider file
AuthDigestDomain / #摘要认证域为/
AuthUserFile /usr/local/httpd/users/auth_digest
Require valid-user
</Directory>

Httpd的授权

除了使用用户名及密码的方式进行浏览器认证外，我们还可以通过IP、子网的方式进一步对用户进行访问限制。这就需要用到Httpd的授权。为了说明用户，我们设计以下几种情景。

情景1，对用户进行IP限制，让处于192.168.1.0网段的用户访问，但不让192.168.1.254的用户访问。配置方案如下：

LoadModule unixd_module modules/mod_unixd.so
LoadModule alias_module modules/mod_alias.so
LoadModule mime_module modules/mod_mime.so
LoadModule cgid_module modules/mod_cgid.so
LoadModule authz_core_module modules/mod_authz_core.so
LoadModule authz_host_module modules/mod_authz_host.so
LoadModule access_compat_module modules/mod_access_compat.so #使用授权时必须加载的库
LoadModule authn_core_module modules/mod_authn_core.so
LoadModule auth_basic_module modules/mod_auth_basic.so
LoadModule authn_file_module modules/mod_authn_file.so
LoadModule authz_user_module modules/mod_authz_user.so
LoadModule auth_digest_module modules/mod_auth_digest.so
LoadModule authn_dbm_module modules/mod_authn_dbm.so
LoadModule dbd_module modules/mod_dbd.so
LoadModule authn_dbd_module modules/mod_authn_dbd.so
Listen 80
ServerName localhost
DocumentRoot "/usr/local/httpd/htdocs"
<Directory "/usr/local/httpd/htdocs">
Allow from 192.168.1.0
Deny from 192.168.1.254
Order Allow,Deny    #验证顺序，先允许，后拒绝。
</Directory>

情景2，在认证的基础上进行授权，既需要浏览器验证，又进行IP限制。配置方案如下：

<Directory "/usr/local/httpd/htdocs">

Allow from 192.168.1.0
Deny from 192.168.1.254
Order Allow,Deny
AuthName auth
AuthType Digest
AuthDigestProvider file
AuthDigestDomain /
AuthUserFile /usr/local/httpd/users/auth_digest
Require valid-user

Satisfy All #认证与授权需同时满足条件才能通过
</Directory>