Мне было интересно, можно ли настроить условное требование HTTP basic auth на основе URL-адреса виртуального хоста в файле .htaccess.
Например, я хочу, чтобы mysite.com и test.mysite.com запустили одну и ту же базу кода в том же каталоге, но защитили паролем test.mysite.com. Он будет настроен таким образом, чтобы мне не нужно было разветвлять мой код, так как код приложения может видеть, какой из них vhost/url он обслуживается, и выберите базу данных для обслуживания контента.
Вы можете отсортировать это с помощью mod_setenvif вместе с модулями mod_auth. Используйте директиву SetEnvIfNoCase, чтобы установить, какой хост защищен паролем. Для удовлетворения доступа вам потребуется несколько дополнительных директив:
# Check for the hostname here
SetEnvIfNoCase HOST ^test\.mysite\.com\.?(:80)?$ PROTECTED_HOST
Затем внутри блока Directory (или просто в открытом виде) у вас есть настройка вашего файла auth, что-то вроде этого:
AuthUserFile /var/www/test.mysite.com/htpasswd
AuthType Basic
AuthName "Password Protected"
Теперь для запроса/удовлетворения материала:
Order Deny,Allow
Satisfy any
Deny from all
Require valid-user
Allow from env=!PROTECTED_HOST
Это сделает так, чтобы любой хост, который не соответствует ^test\.mysite\.com\.?(:80)?$, получит доступ без необходимости auth (Allow from env=!PROTECTED_HOST), но в противном случае нам нужен действительный пользователь (Require valid-user). Satisfy any гарантирует, что нам просто нужно одно из двух: Разрешить или требовать.
У меня были проблемы с внедрением решения Jon:
Хотя я хорошо знаком с Apache conf и регулярными выражениями, аутентификация всегда срабатывает. Из быстрых анализов казалось, что линия Allow from env=!PROTECTED_HOST не вкололась.
Но я нашел другое решение, которое на самом деле выглядит более безопасным для меня:
Я создал два виртуальных хоста для двух доменов, указывающих на тот же самый корень документа (который полностью разрешен кстати). В одном из vhosts я добавил директивы для базового auth (непосредственно в директивный блок vhost).
Работает как шарм. И у меня есть лучшее чувство, что это действительно безопасно - нет риска игнорировать любые детали в шаблоне регулярных выражений, которые откроют ворота для злоумышленников.
<VirtualHost *:80>
ServerName www.mysite.com
DocumentRoot "/path/to/common/doc/root"
<Directory "/path/to/common/doc/root">
Options Indexes FollowSymLinks
AllowOverride All
Order allow,deny
Allow from all
</Directory>
</VirtualHost>
<VirtualHost *:80>
ServerName protected.mysite.com
DocumentRoot "/path/to/common/doc/root"
<Directory "/path/to/common/doc/root">
Options Indexes FollowSymLinks
AllowOverride All
Order allow,deny
Allow from all
AuthUserFile /path/to/htpasswd
AuthName "Password please"
AuthType Basic
Require valid-user
</Directory>
</VirtualHost>
Здесь решение, аналогичное тому, что предложил Jon Lin, но используя RewriteCond для проверки имени хоста:
RewriteEngine On
RewriteCond %{HTTP_HOST} =protected.hostname.com
RewriteRule ^.*$ - [E=DENY:1]
AuthUserFile /path/to/htpasswd
AuthName "Password please"
AuthType Basic
Order Deny,Allow
Satisfy any
Deny from all
Require valid-user
Allow from env=!DENY