我有一个LAMP设置,我只想能够保护网页上的内容(图像,css,视频等),以便只有登录的用户才能访问它。
我知道我可以使用.htaccess轻松地做到这一点。但是,我不想使用身份验证弹出窗口,并且希望能够使用会话并能够注销。
我正在使用php来完成mysql身份验证和创建会话的工作。这很好。但是图像,CSS,JavaScript等仍然可以访问。
仅当存在有效的php会话时,如何才能允许访问内容?
我遇到过使用mod_rewrite将文件转发到php文件(例如auth.php?file = …),并在那里进行会话检查。对于已检查页面中的每个单个图像,检查会话似乎效率低下。看起来像是骇客,我一直在想有一种更干净的方法可以做到这一点。
是否有适用于Apache的mod(例如mod_session_cookie),可以检查会话数据库中是否存在带有会话密钥的cookie,并且是否为目录设置“全部允许”?
另外,是否可以使用mod_auth_mysql但也可以使用会话和使用php形式而不是身份验证弹出窗口进行登录?
编辑:
这是我对问题的解决方案:
在我的apache配置文件(不是.htaccess)中,我添加了:
RewriteLock /var/www/lib/rewrite.lock <VirtualHost> #... RewriteEngine on RewriteMap sessionValid prg:/var/www/lib/allow.php <Directory /var/www/client/*> RewriteEngine on RewriteCond %{HTTP_COOKIE} !client-cookie=([^;]+) RewriteRule .* - [L,R=403] RewriteCond %{HTTP_COOKIE} client-cookie=([^;]+) RewriteCond ${sessionValid:%1} !valid RewriteRule .* - [L,R=403] </Directory> </VirtualHost>
和脚本allow.php:
#!/usr/bin/php5 <?php set_time_limit(0); echo ""; $stdin = fopen("php://stdin","r"); $db = mysql_connect(...); mysql_select_db(..., $db); $querypre = "SELECT ID FROM Sessions WHERE ID='"; while (1) { $line = trim(fgets($stdin)); $query = $querypre.mysql_real_escape_string($line)."'"; $result = mysql_query($query); if (mysql_num_rows($result) > 0) echo("valid\n"); else echo("0\n"); } mysql_close($db); ?>
这就像一个魅力。使用this和session_set_save_handler,我能够使用mysql支持的php会话来保护php页面和其中的所有内容。我希望有人觉得这有用。
一些警告:
RewriteCond %{HTTP_COOKIE} !mysessioncookie=([^;]+) RewriteRule .+\.(jpg|css|js) forbidden.html [R=403]