1 站点访问控制

可基于两种机制指明对哪些资源进行何种访问控制;

  • 文件系统路径
  • URL路径

注意:

从上到下匹配,匹配到一个就立即执行

如果没有子目录的访问控制,但是有父目录的访问控制,则子目录继承父目录的访问控制

1.1 IP访问规则设置

HTTPD-2.2

Order allow,deny		##Order是固定关键字,后面的allow和deny是参数,哪个在后面,就表示默认策略是什么;所以说要根据默认策略配置下面的条目;这条配置永远放在IP访问规则部分的第一条;

Deny from host www.jzbg.com		##拒绝这个域名对应的主机访问;

Deny from 10.207.51.0/28			##拒绝这个网段的IP访问

Deny from 10.207.51.8				##决绝某个主机访问

Allow from web.jzbg.com

Allow from 10.207.51.0/25

Allow from 10.207.51.128

Allow from all		##允许所有人访问;

Deny from all           ##拒绝所有人访问;

HTTPD-2.4

<Requireall>			##当同时存在not和非not语句是,要将所有rule写在<RequireAll>或者<RequireAny>标签容器中;

Require host web.jzbg.com

Require not host web.jzbg.com

Require not host www.jzbg.com		##not表示拒绝的意思

Require ip 10.207.51.0/25

Require ip 10.207.51.128 10.207.51.130

Require ip 10 172.20 192.168.2

Require not ip 10.207.51.0/28

Require not ip 10.207.51.8

Require all granted	##允许所有人访问;


Require all denied	##拒绝所有人访问;2.4版本没有Order了,因为默认就是Deny;

<Requireall>

1.2 文件系统路径

根据需要将上面的IP访问规则放到里面

对指定目录下的内容做访问控制

<Directory "/PATH">

...

</Directory>

对指定目录下的目录做访问控制,在双引号前面加上~,则可以使用正则表达式

<Directory ~"^/www/[0-9]{3}">

...

</Directory>

对PATTERN可以匹配到的目录进行范文控制,支持正则表达式

<DirectoryMatch "^/www/(.+/)?[0-9]{3}/">

...

</DirectoryMatch>

对PATTERN可以匹配到的文件进行访问控制,PATTERN支持通配符

<Files "PATTERN">

...

</Files>

对PATTERN可以匹配到的文件进行访问控制,在双引号前面加上~,则可以使用正则表达式

<Files ~"^/www/[0-9]{3}">

...

</Files>

对PATTERN可以匹配到的文件进行访问控制,支持正则表达式

<FilesMatch ".+\.(gif|jpe?g|png)$ ">

...

</FileMatch>

1.3 基于URL路径做访问控制

根据需要将上面的IP访问规则放到里面

对指定的URL进行访问控制

<Location "URL-path|URL">

...

</Location>

对指定的URL进行访问控制

<Location "^/www/[0-9]{3}">

...

</Location>

对PATTERN可以匹配到的URL进行范文控制,PATTERN支持通配符和正则表达式

<LocationMatch "PATTERN">

...

</LocationMatch>

2 基于用户的访问控制

2.1 认证过程简述

服务器收到client发来的request之后,服务器会发送认证质询(WWW-Authenticate,响应码为401,拒绝客户端请求)给client,client会看到一个提示框,要求输入账号和密码,当client输入了账号和密码之后,client发送请求报文Authorization给server,server收到之后验证是否正确,如果正确则通过验证,发送响应资源;

2.2 一次失败的认证过程

客户端发送了请求报文

因为网页需要认证,服务器端会相应一个认证质询WWW-Authenticate,响应码为401,拒绝客户端请求;

客户端收到后会先回复一个ACK进行确认

此时网页上出现一个弹框,等待用户输入完用户密码之后客户端发送请求报文Authorization给服务器端;

信息完全是明文的(因为AuthType Basic),如果使用digest则为密文

因为认证失败,所以网页界面变成了

因为客户端输入的用户和密码不正确,所以服务器端又发送了认证质询报文;

3.3 基于用户进行认证

定义安全域

<Directory "/var/www/html">

    Options Indexes

    AllowOverride None

    AuthType Basic														##使用什么认证方式(None|Basic|Digest|Form)

    AuthName "Admin Area, Please enter username and passwd"		##显示给客户端的提示;

    AuthUserFile "/var/www/passwd"									##存储用户认证用户信息的文件(账号密码);

选择一个配置

    Require user Allen													##允许哪个用户访问;

    Require valid-user													##允许账号文件中的所有用户登录

</Directory>

创建账号文件

[root@centos7 ~]# htpasswd -m -b -n Allen 123456 | xargs > /var/www/passwd

[root@centos7 ~]# htpasswd -m -b -n Barry 123456 | xargs >> /var/www/passwd

[root@centos7 ~]# cat /var/www/passwd

Allen:$apr1$4zE.hBCF$9hMwE161RPsDaGiN1AZqW1

Barry:$apr1$9l.CBxWR$i8WW7zcOPuVLJvcvDAn73/

这种basic的方式十分不安全,通过抓包能看到用户输入的账户名和密码

3.4 基于组账号进行认证

定义安全域

<Directory "/var/www/html">

Options Indexes

AllowOverride None

AuthType Basic ##使用什么认证方式(None|Basic|Digest|Form)

AuthName "Admin Area, Please enter username and passwd" ##显示给客户端的提示;

AuthUserFile "/var/www/passwd" ##存储用户认证用户信息的文件(账号密码);

AuthGroupFile "/var/www/group" ##指定组信息文件

Require group Super ##允许哪个组的用户访问

创建账号文件

[root@centos7 ~]# htpasswd -m -b -n Allen 123456 | xargs > /var/www/passwd

[root@centos7 ~]# htpasswd -m -b -n Barry 123456 | xargs >> /var/www/passwd

[root@centos7 ~]# cat /var/www/passwd

Allen:$apr1$4zE.hBCF$9hMwE161RPsDaGiN1AZqW1

Barry:$apr1$9l.CBxWR$i8WW7zcOPuVLJvcvDAn73/

创建组信息文件

[root@centos7 ~]# vim /var/www/group

Super:Allen Barry		##每行定义一个组,GROUP_NAME:username1 username2 .....

3 持久连接

配置命令

KeepAlive On|Off				##开启或关闭KeepAlive

KeepAliveTimeout 15			##设置KeepAlive的最大持续连接时间为15s,httpd-2.2只能是秒,httpd-2.4可以是毫秒(后面加ms表示毫秒,不加表示秒);

MaxKeepAliveRequests 100		##设置每个长连接在建立过程中,最大处理100个请求;

这表示配置了长连接

通过telnet也可以测试

4 HTTP虚拟主机

实现方法

有三种表示方法,也就有三种实现方法

  • 基于IP:为每个虚拟主机准备至少一个IP地址;
  • 基于PORT:为每个虚拟主机使用至少一个独立PORT;
  • 基于FQDN:为每个虚拟主机使用至少一个FQDN;

    注意:httpd-2.2中,一般虚拟主机不能与中心主机混用;因此,要使用虚拟主机,得先禁用“main”主机(禁用方法:注释中心主机得DocumentRoot指令即可);

基于IP的虚拟主机示例

基于端口的虚拟主机示例

基于FQDN的虚拟主机示例

注意:httpd-2.2,配置基于FQDN的虚拟主机必须事先使用如下指令

NameVirtualHost IPADDRESS:PORT		##在VirtualHost前面加一条命令,每个VirtualHost都需要;

<VirtualHost IPADDRESS:PORT>

.....

</VirtualHost>

简述站点访问控制、基于用户的访问控制、httpd虚拟主机、持久链接等应用配置实例的更多相关文章

  1. httpd虚拟主机、站点访问控制、基于用户的访问控制、持久链接等应用配置实例

    httpd配置内容 httpd2.2 配置文件: /etc/httpd/conf/httpd.conf /etc/httpd/conf.d/*.conf 服务脚本: /etc/rc.d/init.d/ ...

  2. 编译安装基于 fastcgi 模式的多虚拟主机的wordpress和discuz的LAMP架构

    目录 实现CentOS 7 编译安装基于 fastcgi 模式的多虚拟主机的wordpress和discuz的LAMP架构 准备环境: 准备软件版本: 主机名修改用以区分 数据库服务器 实现数据库二进 ...

  3. HAProxy详解(三):基于虚拟主机的HAProxy负载均衡系统配置实例【转】

    一.基于虚拟主机的HAProxy负载均衡系统配置实例 1.通过HAProxy的ACL规则配置虚拟主机: 下面将通过HAProxy的ACL功能配置一套基于虚拟主机的负载均衡系统.这里操作系统环境为:Ce ...

  4. nginx篇最初级用法之三种虚拟主机基于域名\基于端口\基于IP地址端口的虚拟主机

    在nginx中虚拟主机的类型与apache一样也有三种 1.基于域名的虚拟主机 2.基于端口的虚拟主机 3.基于IP地址端口的虚拟主机 在nginx配置文件中每一个server为一个虚拟主机如果需要多 ...

  5. CentOS7配置httpd虚拟主机

    本实验旨在CentOS7系统中,httpd-2.4配置两台虚拟主机,主要有以下要求: (1) 提供两个基于名称的虚拟主机: www1.stuX.com,页面文件目录为/web/vhosts/www1: ...

  6. httpd 虚拟主机建立之访问机制及其日志定义

    注:关闭防火墙,selinux VirtualHost定义: 基于IP地址VirtualHost: 编辑httpd.conf文件: #DocumentRoot "/web/html" ...

  7. 源码编译安装LAMP环境及配置基于域名访问的多虚拟主机

    实验环境及软件版本: CentOS版本: 6.6(2.6.32.-504.el6.x86_64) apache版本: apache2.2.27 mysql版本:  Mysql-5.6.23 php版本 ...

  8. 配置httpd虚拟主机

    轻松配置httpd的虚拟主机 httpd使用VirtualHost指令进行虚拟主机的定义.支持三种虚拟主机:基于ip,基于端口和基于名称.其中基于端口的虚拟主机在httpd的术语上(例如官方手册)也属 ...

  9. 在基于Windows系统的PHP虚拟主机上实现域名的301永久重定向

    作者:荒原之梦 原文链接:http://zhaokaifeng.com/?p=581 操作背景: 当网站在更换或添加域名.进行网址规范化或删除旧页面时,出于对用户使用体验和搜索引擎优化方面的考虑就需要 ...

随机推荐

  1. IDE工具的[多行光标编辑模式]

    Sublime Text3:Ctrl+Alt+上下键 Eclipse:Shift+Alt+A,进入退出多光标模式 IDEA:Shift + ctrl + alt + 鼠标左键 收集链接 IDEA:ht ...

  2. bzoj 2257: [Jsoi2009]瓶子和燃料【裴蜀定理+gcd】

    裴蜀定理:若a,b是整数,且gcd(a,b)=d,那么对于任意的整数x,y,ax+by都一定是d的倍数,特别地,一定存在整数x,y,使ax+by=d成立. 所以最后能得到的最小燃料书就是gcd,所以直 ...

  3. bzoj 2087: [Poi2010]Sheep【凸包+极角排序+dp】

    首先处理处理出来哪些边能连--能把羊分成两个偶数部分的,实现是在凸包上枚举极点,极角排序,枚举凸包上点对判断两边羊的个数的奇偶即可,设可以连边为v[i][j]=1 然后设f[i][j]为从i到j个凸包 ...

  4. 洛谷 P2764 最小路径覆盖问题【匈牙利算法】

    经典二分图匹配问题.把每个点拆成两个,对于原图中的每一条边(i,j)连接(i,j+n),最小路径覆盖就是点数n-二分图最大匹配.方案直接顺着匹配dsf.. #include<iostream&g ...

  5. [App Store Connect帮助]八、维护您的 App(4.3)回复顾客评论(iOS、macOS 或 watchOS)

    您可以公开回复顾客评论,但在您的 App Store 产品页上每条评论仅会显示一条回复.您可以回复评论.编辑回复,以及删除回复. 在回复和编辑显示在 App Store 上之前(可能需要至多 24 小 ...

  6. leaflet在地图上加载本地图片

    <link href="~/Scripts/Leaflet/leaflet.css" rel="stylesheet" /><script s ...

  7. 四大开源协议比较:BSD、Apache、GPL、LGPL【转载】

    四大开源协议原文链接 本文参考文献:http://www.fsf.org/licensing/licenses/ 现今存在的开源协议很多,而经过Open Source Initiative组织通过批准 ...

  8. 442 Find All Duplicates in an Array 数组中重复的数据

    给定一个整数数组 a,其中1 ≤ a[i] ≤ n (n为数组长度), 其中有些元素出现两次而其他元素出现一次.找到所有出现两次的元素.你可以不用到任何额外空间并在O(n)时间复杂度内解决这个问题吗? ...

  9. APP增量更新

    增量更新的概念: 当我们手机上安装的app版本与服务器的最新版本不一致的时候,传统做法是重新下载安装一个最新版的apk文件,不过这种方式比较耗流量,不利于用户体验.增量更新就是只下载当前app版本与最 ...

  10. Android 使用pl.droidsonroids.gif.GifImageView在安卓中显示动图遇到的问题

    在做一款聊天软件,其中聊天界面需要发送表情,而表情都是动图,在安卓中想要显示动图,就要借助第三方框架,我选的是pl.droidsonroids.gif.GifImageView. 使用方法如下:你在g ...