我有一个LAMP设置,我只想能够保护网页上的内容(图像,css,视频等),以便只有登录的用户才能访问它。
我知道我可以使用.htaccess轻松地做到这一点。但是,我不想使用身份验证弹出窗口,并且希望能够使用会话并能够注销。
我正在使用php来完成mysql身份验证和创建会话的工作。这很好。但是图像,CSS,JavaScript等仍然可以访问。
仅当存在有效的php会话时,如何才能允许访问内容?
我遇到过使用mod_rewrite将文件转发到php文件(例如auth.php?file =
…),并在那里进行会话检查。对于已检查页面中的每个单个图像,检查会话似乎效率低下。看起来像是骇客,我一直在想有一种更干净的方法可以做到这一点。
是否有适用于Apache的mod(例如mod_session_cookie),可以检查会话数据库中是否存在带有会话密钥的cookie,并且是否为目录设置“全部允许”?
另外,是否可以使用mod_auth_mysql但也可以使用会话和使用php形式而不是身份验证弹出窗口进行登录?
编辑:
这是我对问题的解决方案:
在我的apache配置文件(不是.htaccess)中,我添加了:
RewriteLock /var/www/lib/rewrite.lock
#...
RewriteEngine on
RewriteMap sessionValid prg:/var/www/lib/allow.php
RewriteEngine on
RewriteCond %{HTTP_COOKIE} !client-cookie=([^;]+)
RewriteRule .* - [L,R=403]
RewriteCond %{HTTP_COOKIE} client-cookie=([^;]+)
RewriteCond ${sessionValid:%1} !valid
RewriteRule .* - [L,R=403]
和脚本allow.php:
#!/usr/bin/php5
set_time_limit(0);
echo "";
$stdin = fopen("php://stdin","r");
$db = mysql_connect(...);
mysql_select_db(..., $db);
$querypre = "SELECT ID FROM Sessions WHERE ID='";
while (1) {
$line = trim(fgets($stdin));
$query = $querypre.mysql_real_escape_string($line)."'";
$result = mysql_query($query);
if (mysql_num_rows($result) > 0)
echo("valid\n");
else
echo("0\n");
}
mysql_close($db);
?>
这就像一个魅力。使用this和session_set_save_handler,我能够使用mysql支持的php会话来保护php页面和其中的所有内容。我希望有人觉得这有用。
一些警告:
如果要在虚拟主机块中使用RewriteMap语句,则需要在该虚拟主机块中定义它。将其放置在模块之外将不起作用。
您必须在定义RewriteMap之前将RewriteEngine设置为on,否则它将被忽略。
RewriteLock不能在虚拟主机块中。
与任何shell脚本一样,该php文件必须可由apache用户执行,并且没有^ M
RewriteMap语句不能放置在.htaccess中,但其他使用该映射的语句可以放置。
654
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
