一尘不染

将内容限制为使用PHP登录的用户

mysql

我有一个LAMP设置,我只想能够保护网页上的内容(图像,css,视频等),以便只有登录的用户才能访问它。

我知道我可以使用.htaccess轻松地做到这一点。但是,我不想使用身份验证弹出窗口,并且希望能够使用会话并能够注销。

我正在使用php来完成mysql身份验证和创建会话的工作。这很好。但是图像,CSS,JavaScript等仍然可以访问。

仅当存在有效的php会话时,如何才能允许访问内容?

我遇到过使用mod_rewrite将文件转发到php文件(例如auth.php?file =
…),并在那里进行会话检查。对于已检查页面中的每个单个图像,检查会话似乎效率低下。看起来像是骇客,我一直在想有一种更干净的方法可以做到这一点。

是否有适用于Apache的mod(例如mod_session_cookie),可以检查会话数据库中是否存在带有会话密钥的cookie,并且是否为目录设置“全部允许”?

另外,是否可以使用mod_auth_mysql但也可以使用会话和使用php形式而不是身份验证弹出窗口进行登录?

编辑:

这是我对问题的解决方案:

在我的apache配置文件(不是.htaccess)中,我添加了:

RewriteLock /var/www/lib/rewrite.lock

<VirtualHost>
    #...
    RewriteEngine on
    RewriteMap sessionValid prg:/var/www/lib/allow.php

    <Directory /var/www/client/*>
            RewriteEngine on

            RewriteCond %{HTTP_COOKIE} !client-cookie=([^;]+)
            RewriteRule .* - [L,R=403]

            RewriteCond %{HTTP_COOKIE} client-cookie=([^;]+)
            RewriteCond ${sessionValid:%1} !valid
            RewriteRule .* - [L,R=403]
    </Directory>
</VirtualHost>

和脚本allow.php:

#!/usr/bin/php5
<?php
set_time_limit(0);

echo ""; 
$stdin = fopen("php://stdin","r");
$db = mysql_connect(...);  
mysql_select_db(..., $db);
$querypre = "SELECT ID FROM Sessions WHERE ID='";

while (1) {
  $line = trim(fgets($stdin));

  $query = $querypre.mysql_real_escape_string($line)."'";
  $result = mysql_query($query);

  if (mysql_num_rows($result) > 0)
    echo("valid\n");
  else
    echo("0\n");
}

mysql_close($db);
?>

这就像一个魅力。使用this和session_set_save_handler,我能够使用mysql支持的php会话来保护php页面和其中的所有内容。我希望有人觉得这有用。

一些警告:

  • 如果要在虚拟主机块中使用RewriteMap语句,则需要在该虚拟主机块中定义它。将其放置在模块之外将不起作用。
  • 您必须在定义RewriteMap之前将RewriteEngine设置为on,否则它将被忽略。
  • RewriteLock不能在虚拟主机块中。
  • 与任何shell脚本一样,该php文件必须可由apache用户执行,并且没有^ M
  • RewriteMap语句不能放置在.htaccess中,但其他使用该映射的语句可以放置。

阅读 228

收藏
2020-05-17

共1个答案

一尘不染

RewriteCond %{HTTP_COOKIE} !mysessioncookie=([^;]+)
RewriteRule .+\.(jpg|css|js) forbidden.html [R=403]
2020-05-17