Tun HTTP-Authentifizierung über HTTPS mit URL-rewriting

Ich versuche zu schützen, die ~/public_html/dev Verzeichnis mit http auth basic, aber stellen Sie sicher, dass ich will das es läuft über ssl.

Dem mittleren Abschnitt der unten .htaccess - Datei wechselt zu https, wenn der request-URI beginnt mit /dev und arbeitet.

Den letzten Abschnitt der Datei funktioniert auch, aber funktioniert nicht richtig mit der https-Umleitung.

Ich im Grunde wollen in der Lage sein zu geben http://www.example.com/dev/some_sub_dir/ und umgeleitet werden, um https://www.example.com/dev/some_sub_dir/ und aufgefordert, den http-auth Benutzername und Passwort.

Was derzeit passiert, ist, wenn ich gehen, um http://www.example.com/dev/some_sub_dir/ bekomme ich aufgefordert, einen Benutzernamen und ein Passwort über port 80, und dann sofort aufgefordert, wieder über den port 443. Also meine Anmeldeinformationen gesendet werden zweimal, einmal in klar und einmal verschlüsselt. Dadurch, dass die gesamte https-url-rewrite ein wenig sinnlos.

Der Grund HIERFÜR ist, so dass ich nicht versehentlich meine user/pass-über-http -, https-wird immer verwendet werden, um Zugriff auf die /dev Verzeichnis.

Den .htaccess ist in der ~/public_html/dev Verzeichnis.

# Rewrite-Regeln für example.com 
RewriteEngine On 
RewriteBase /

# force /dev über https 
RewriteCond %{HTTPS} !auf 
RewriteCond %{REQUEST_URI} ^/dev 
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} 

# tun auth 
AuthType Basic 
AuthName "dev" 
AuthUserFile /home/matt/public_html/dev/.htpasswd 
Require valid-user

InformationsquelleAutor Matthew | 2010-02-08

11

Gibt es eine relativ beliebte hack zu erzwingen, HTTPS, bevor Sie die Standardauthentifizierung. Zuerst sah ich es hier:

http://blog.jozjan.net/2008/02/htaccess-redirect-to-ssl-https-before.html

Es beinhaltet die Verwendung einer benutzerdefinierten Fehler-Dokument zu handhaben, was passiert, nachdem die HTTPS-überprüfung fehlschlägt.

Ich habe zum Beispiel eine einzelne Seite, die ich brauche, um zu erzwingen von HTTPS auf, also ich habe das in einem .htaccess-Datei:
```
<FilesMatch "secure-page.php">
    SSLRequireSSL
    ErrorDocument 403 https://www.example.com/secure-page.php
    AuthType Basic
    AuthName "Secure Page"
    AuthUserFile /var/www/whatever/.htpasswdFile
    Require valid-user
</FilesMatch>
```
Übersetzt:

wenn die angeforderte Seite 'secure-page.php' - wenn nicht HTTPS, dann Umleitung auf eine custom 'Fehler-Seite' - die 'Fehler-Seite' ist eigentlich nur die HTTPS-version der Seite - auf die zweite Anfrage, da die HTTPS-check jetzt geht, führen Sie Basic Auth 🙂

Können Sie erweitern dieses Konzept um ein Verzeichnis oder eine andere Anwendungsfälle - Ihre custom 'Fehler-Seite' könnte eine php-Seite, die leitet auf die richtige HTTPS-URL oder einem CGI-Skript, wie in dem link oben...
- das ist ziemlich hinterhältig
- Ja, vermutlich nicht die optimale Lösung, aber nach vier Stunden finden mich in der gleichen misslichen Lage wie du, es war die beste, die ich finden konnte 🙂
- Ich habe versucht, Ihnen all das und dann einige; diese Lösung am besten funktioniert für mich. Ich entfernte die FilesMatch-Direktive, und dann ist es verifiziert alles, was besonders gut funktioniert, wenn der Besucher nicht die eine Datei definieren, z.B. index.php. askapache.com/htaccess/apache-ssl-in-htaccess-examples.html geben Ihnen auch eine Menge guter Informationen; auf dieser Grundlage habe ich auch aufgenommen SSLOptions +StrictRequire
- Für ein php-Skript, um mit zu gehen, dass htaccess, siehe meine Antwort irgendwo unten auf der Seite.
- Ich meine, ein php-Skript, das den Fall behandeln, wo wir wollen, um zu erzwingen, https auf alle Dateien, im Gegensatz zu der einzelnen Datei bei siliconrockstar.
InformationsquelleAutor
4

Ich lief in das gleiche problem und fand schließlich eine hässliche Lösung, aber es funktioniert. Setzen Sie die rewrite-Regel in einer Directory-Direktive in httpd.conf oder deine conf.d-Dateien (D. H., in der "Main" - server-Konfiguration). Dann setzen Sie den Auth* und Erfordern Zeilen in eine Directory-Direktive innen die <VirtualHost _default_:443> container in ssl.conf (oder wo auch immer Ihr SSL-VirtualHost definiert ist).

Für mich bedeutet dies, erstellen Sie eine Datei /etc/httpd/conf.d/test.conf mit:
```
<Directory "/var/www/html/test">
        #
        # force HTTPS
        #
        RewriteEngine On
        RewriteCond %{HTTPS} off
        RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}
</Directory>
```
...und dann das hinzufügen der folgenden innerhalb /etc/httpd/conf.d/ssl.conf nur über die </VirtualHost> tag:
```
<Directory "/var/www/html/test">
        #
        # require authentication
        #
        AuthType Basic
        AuthName "Please Log In"
        AuthUserFile /var/www/auth/passwords
        Require valid-user
</Directory>
```
Tun, das macht der Apache gelten die RewriteRule auf alle Anfragen, und der auth-Anforderungen nur für Anforderungen in der 443 VirtualHost.

InformationsquelleAutor Jeff Davis
4

Gebäude auf siliconrockstar Antwort, ich bin das hinzufügen einer php-Skript, das wäre in dem Fall, wo Sie möchten, um force-SSL auf alle die Dateien, nicht nur die eine-Datei-Fall gezeigt siliconrockstar. Hier wieder, es funktioniert in Verbindung mit der htaccess-Datei.

Die htaccess zu schützen, um ganze Verzeichnis:
```
    SSLRequireSSL
    ErrorDocument 403 /yourphp.php
    AuthType Basic
    AuthName "Secure Page"
    AuthUserFile /some_path_above_the_html_root/.htpasswdFile
    Require valid-user
```
Php genannt, die durch die htaccess (den Pfad für die php-in diesem Beispiel-htaccess ist die Wurzel Ihrer Website), die Kräfte https auf die url, die Sie aufgerufen:
```
<?php
$path = "https://".$_SERVER['SERVER_NAME'].$_SERVER['REQUEST_URI'];
if ( $_SERVER['SERVER_PORT'] == 80) {
    header("Status: 302 Moved\n");
    header("Location: ".$path."\n\n");
}
else {
    header( "Content-type: text/html\n\n");
    echo "How did you get here???";
}
?>
```
Wenn Ihre Website nicht über ein SSL-Zertifikat haben, müssen Sie es installieren. Wenn dies Ihre einzige Verwendung für Sie, können Sie installieren Sie ein selbstsigniertes Zertifikat. Auf einem cPanel VPS mit Ihre site auf einer dedizierten IP, das dauert Momenten zu tun: in WHM, besuchen

Einer. Generieren Sie ein SSL-Zertifikat und Signing Request

dann

Zwei. Installieren Sie ein SSL Zertifikat auf einer Domain

InformationsquelleAutor zx81
2

Schützen von Inhalten mit der basic-Authentifizierung wird nie funktionieren sicher über HTTP.

Sobald der Benutzer eingegeben hat, Ihren Benutzernamen und das Kennwort, unverschlüsselt übertragen werden für jede Seite anzeigen zu Website - die nicht nur geschickt die Zeit bekommt der Nutzer dazu aufgefordert werden.

Haben Sie zur Behandlung von Anfragen über HTTP als un-authentifiziert, und tun alle angemeldet Zeug über HTTPS.

Viele websites haben HTTPS verwendet für den login - Formularen und cookies, statt basic auth " - und dann gehen Sie zu HTTP danach. Dies bedeutet, dass Sie 'Sie sind eingeloggt' cookie gesendet wird unverschlüsselt. Alle wertvollen Ziel gehackt wurde, weil dieser, und gmail ist jetzt die Umstellung auf vollständige HTTPS und andere werden Folgen.

Sie haben nicht die gleiche Skalierung Probleme, die andere hatten gehalten hat, dass Sie Weg von der rechnerisch teurer HTTPS. Wenn Ihre homepage unterstützt HTTPS-Zugriff, verwenden Sie es überall.
- Es nervt mich, dass auf eine re-Lektüre die Frage, es scheint, Sie kennen sich gut mit dem Rat, den ich schrieb; ich denke, die nützlich für andere Lesen den thread später zu sehen, meine Gründe, aber, also lasse ich es bleiben.
- Hast du auch gelesen, die Frage? Er will die Verwendung der HTTP-Authentifizierung über HTTPS. Aber die Authentifizierung findet statt, bevor der redirect von HTTP zu HTTPS. So ersuchenden example.com/dev... aufgefordert, die Authentifizierung, dann die Umleitung erfolgt und die Anforderung von example.com/dev... - Eingabeaufforderungen eine weitere Authentifizierung. Was er will ist die erste Umleitung und fordert die Authentifizierung.
- yeap, die ich abgeholt, dass bis auf die zweite Lesung, und stellte fest, es als Kommentar
InformationsquelleAutor Will
1

Wenn Sie die rewrite-Regeln in der Haupt-config, außerhalb oder oder ähnlich, umschreiben, wird getan werden, bevor die Authentifizierung.

Sehen Rewrite-Tech

InformationsquelleAutor matsebt
0

Funktioniert es, um Ihre Authentifizierungs-Abschnitt in einem <Location> oder <LocationMatch> - tag unter Verwendung des Protokolls, wie der Begriff?

InformationsquelleAutor Will

Ich bekommen, um es auf diese Weise. Nur Nicht-SSL, da es umgeleitet werden, dann erfordert auth einmal auf SSL...

SetEnvIf %{SERVER_PORT} ^80$ IS_NON_SSL

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}

AuthUserFile /.htpasswd
AuthName "Enter your Username and Password:"
AuthType Basic
require valid-user
Allow from env=IS_NON_SSL

InformationsquelleAutor Ben

0

Ich weiß, das ist eine alte Frage, aber ich hatte Probleme mit einem einfachen ht.Zugriff umleiten. Nach vielen anderen Problemen und Antworten, die ich schließlich zusammen diese htaccess, das funktioniert wie vorgesehen.
```
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}

AuthName "Private Server"
AuthUserFile /var/www/.htpassword
AuthType Basic
require valid-user
Order allow,deny
Allow from env=!HTTPS
Satisfy Any
```
Zu beachten, die
```
Order allow,deny
```
Was fehlte in vielen anderen Antworten, die ich gesehen habe, wie es möglich wäre, Menschen direkt bei der Verwendung von https. Der andere Teil fehlte, aus meinen tests war die folgende:
```
Satisfy Any
```
Das folgende snippet ist das, was nicht-SSL-clients in mit für die Weiterleitung. Die HTTPS env var eingestellt ist, von der mod_ssl für die ssl-clients.
```
Allow from env=!HTTPS
```
- Das funktioniert nicht, es ist nur erlaubt den gesamten Datenverkehr durch
InformationsquelleAutor Craig Smith
0

Ich habe zwei Antworten auf die Frage, eines mit 2010 Mentalität, und einer mit einem post-2012-Mentalität.

Diese Frage zu beantworten, als ob es war 2010, als es gefragt wurde: die Verwendung von zwei verschiedenen VirtualHost-Konfigurationen.

Diese Lösung ist ein wenig außerhalb des Bereichs der Frage, wie die Implikation ist: "ich habe nur Zugang zu ändern .htaccess!" aber eine tragfähige Lösung in vielen Fällen ist der Antrag, der administrator du jour zu einfach-setup zwei verschiedene VirtualHost-Konfigurationen.
- Den nicht-SSL-VirtualHost ist nicht so konfiguriert, dass Zugriff auf alles auf das Dateisystem, und nur zurückgibt, 301-Weiterleitungen zu https://... Standorte für alle Anforderungen.
- Den SSL-listening-VirtualHost wird dann kostenlos zu implementieren, die Basic-Authentifizierung, ohne befürchten zu müssen, dass das standard-HTTP-listener verschenken der Ware.
Aber mit meinem post-2018 den Hut auf, und stellt fest, dass diese Frage gestellt wurde, bevor Apache 2.4 (Anfang 2012?), es ist Zeit für ein update. Apache 2.4 eingeführt <If condition> prüft, welche macht dies viel einfacher und direkter:
- Erste, nicht IfModule die RewriteEngine. Wie der Apache lauscht auf port 80 und 443 (standard-setup), UND wir wollen die Durchsetzung von SSL, wir wollen den server zu brechen, wenn Sie das Rewrite-Modul ist anders gelöst.
```
RewriteEngine On 
```
- Zweiten einfach genug ist, führen Sie eine sofortige und permanente (301) umleiten, wenn die Anfrage nicht sicher ist. Hinweis(R edirect) und L(ast), die zusammenarbeiten, um sicherzustellen, dass nicht-verschlüsselte Anfragen werden umgeleitet und können nicht genutzt werden, um zu gewinnen, nicht authentifizierten Zugriff. (Für die OCD, nicht-kopieren-einfügen gemerkt, beachten Sie die Mangel der Raum zwischen != und on. Das ist Absicht.)
```
RewriteCond %{HTTPS} !=on 
RewriteRule .* https://%{SERVER_NAME}%{REQUEST_URI} [R=301,QSA,L,NC]
```
- Schließlich verwenden Sie dieselbe variable mit einem <If-condition> überprüfen, um sicherzustellen, dass wir nur verlangen, das Passwort für die TLS-Anfrage.
```
<If "%{HTTPS} == 'on'">
        AuthName "Password please!" 
        AuthType Basic 
        AuthUserFile /path/to/htpasswdfile
        AuthGroupFile /dev/null 
        require valid-user
</If>
```
Und insgesamt:
```
# .htaccess

RewriteEngine On

RewriteCond %{HTTPS} !=on
RewriteRule .* https://%{SERVER_NAME}%{REQUEST_URI} [R=301,QSA,L,NC]

<If "%{HTTPS} == 'on'">
        AuthName "Password please!"
        AuthType Basic
        AuthUserFile /path/to/htpasswdfile
        AuthGroupFile /dev/null
        require valid-user
</If>
```
InformationsquelleAutor hunteke

Schreibe einen Kommentar

Du musst angemeldet sein, um einen Kommentar abzugeben.