编辑“认证、授权、访问控制”（章节）

== 启用认证 ==

先介绍用密码来保护服务器上的目录。<br>

首先需要建立一个密码文件。这个文件应该放在不能被网络访问的位置，以避免被下载。例如，如果/usr/local/apache/htdocs以外的空间不能被网络访问，那么可以考虑把密码文件放在/usr/local/apache/passwd目录中。<br>

Apache在其安装目录的bin子目录中提供了htpasswd工具，用于建立密码文件，可以这样使用：<br>

htpasswd -c /usr/local/apache/passwd/passwords rbowen  <br>

htpasswd会要你输入密码，并要求重新输入以进行确认：<br> 

# htpasswd -c /usr/local/apache/passwd/passwords rbowen <br>
New password: mypassword <br>
Re-type new password: mypassword <br>
Adding password for user rbowen  <br>

如果htpasswd不在搜索路径中，则必须使用完整路径，如：/usr/local/apache/bin/htpasswd <br>

然后修改httpd.conf或.htaccess文件，指示服务器允许哪些用户访问并向用户索取密码。若要保护/usr/local/apache/htdocs/secret目录，则可以将下列指令写 <br>入/usr/local/apache/htdocs/secret/.htaccess或者httpd.conf的<Directory /usr/local/apache/apache/htdocs/secret>段。 <br>

AuthType Basic <br>
AuthName "Restricted Files" <br>
AuthUserFile /usr/local/apache/passwd/passwords <br>
Require user rbowen <br>

让我们逐个解释这些指令。AuthType指令选择对用户实施认证的方法，最常用的是由mod_auth_basic提供的Basic 。必须认识到的很重要的一点是，Basic认证方法并不加密来自用户浏览器的密码，因此，不应该用于高度敏感的数据。Apache中还有另一种更安全的认证方法"AuthType Digest"，即由mod_auth_digest供的摘要认证。目前，只有最新的浏览器版本才支持摘要认证。<br>

AuthName指令设置了使用认证的域(Realm)，它起两个作用，首先，此域会出现在显示给用户的密码提问对话框中，其次，也帮助客户端程序确定应该发送哪个密码。<br>

所以，如果一个用户已经在"Restricted Files"域通过了认证，则客户端就可以尝试使用同样的密码来访问同一个服务器上任何名为"Restricted Files"域的其他部分，从而使多个受限区域使用同一个密码，以避免用户重复输入。当然，出于安全考虑，如果服务器变了，客户端始终会要求重新输入密码。<br>

AuthUserFile指令设置了密码文件的位置，也就是刚才我们用htpasswd建立的文件。如果用户很多则认证速度会很慢，因为对每个请求都必须搜索这个纯文本文件，对此，Apache还支持把用户信息存入快速的数据库文件，mod_authn_dbm模块提供了AuthDBMUserFile指令，并可以用dbmmanage程序建立和操作这些数据库。Apache模块数据库中还提供了许多其他第三方模块提供的认证选项。<br>

最后，Require指令设置了允许访问受保护区域的用户，下一节将对Require指令作详细说明。<br>
说明	输入内容	输出结果
斜体	''斜体文字''	斜体文字
粗体	'''粗体文字'''	粗体文字
粗斜体	'''''粗斜体文字'''''	*粗斜体文字*