.htaccess 先检查 cookie，然后检查有效用户

Question

我的 apache 服务器上有一个目录的 .htaccess 文件。目前这使用 mod_auth_mysql 进行用户验证以查看目录列表。但是，如果用户已经登录到我的应用程序（因此存在 cookie），我想跳过有效用户要求，从而消除多次登录。

当前 .htaccess

AuthName "Please don't hack the server, cheers"
AuthBasicAuthoritative Off
AuthUserFile /dev/null
AuthMySQL On
AuthType Basic
Auth_MYSQL on
Auth_MySQL_Host localhost
Auth_MySQL_User username
Auth_MySQL_Password password
AuthMySQL_DB auth
AuthMySQL_Password_Table users
Auth_MySQL_Username_Field username
Auth_MySQL_Password_Field password
Auth_MySQL_Empty_Passwords Off
Auth_MySQL_Encryption_Types Plaintext
Auth_MySQL_Authoritative On
require user james

Cookie 检查

RewriteEngine On
RewriteCond %{HTTP_COOKIE} !^cookiename=ok$
RewriteRule .* / [NC,L]

如何正确结合这两者，首先检查 cookie，如果找到则允许通过，然后如果未找到 cookie，则检查有效用户？

谢谢

Answer 1

您需要在这里做两件事，您可以使用SetEnvIf directive 创建一个环境变量，然后对照Cookie 检查它。然后您需要告诉 mod_auth_mysql 允许 任何 组要求来满足身份验证。

首先是环境变量：

SetEnvIf Cookie cookiename=ok norequire_auth=yes

cookiename=ok 是与 Cookie: HTTP 标头匹配的正则表达式。然后Satisfy：

Order Deny,Allow
Satisfy Any

# your auth stuff:
AuthName "Please don't hack the server, cheers"
AuthBasicAuthoritative Off
AuthUserFile /dev/null
AuthMySQL On
AuthType Basic
Auth_MYSQL on
Auth_MySQL_Host localhost
Auth_MySQL_User username
Auth_MySQL_Password password
AuthMySQL_DB auth
AuthMySQL_Password_Table users
Auth_MySQL_Username_Field username
Auth_MySQL_Password_Field password
Auth_MySQL_Empty_Passwords Off
Auth_MySQL_Encryption_Types Plaintext
Auth_MySQL_Authoritative On
require user james

Allow from env=norequire_auth

所以Satisfy Any 表示如果满足require user james，我们允许或如果满足Allow from env=norequire_auth。如果没有满足，则需要满足两条线才能允许访问。

请注意，cookie 很容易被伪造，而且此系统不是保护您的网页的好方法。您至少需要检查 cookie 的值以获取会话 ID 或其他内容。