Bảo mật với .htaccess

Sử dụng .htaccess là một phương cách bảo vệ thư mục của bạn bằng mật khẩu. Nó cũng có thể được sử dụng để chỉ định rõ một thành viên hay nhóm có quyền hạn truy cập vào thư mục. Ở bài viết này, tôi sẽ hướng dẫn bạn cách sử dụng và những điều cơ bản của .htaccess.

Đầu tiên, bạn phải có một server dùng Apache (Bạn có thể xem cách thức cài đặt Apache và PHP, mySQL ở: http://forum.vnunited.com/viet ). Bây giờ, bạn sẽ cần định rõ thư mục nào sẽ được giới hạn quyền truy cập bởi htaccess. Ví dụ là thư mục /var/www .

Trong tập tin của Apache server, tên access.conf , (Ở đây, của tôi là Apacheaccess.conf , cũng có thể bạn sẽ phải sử dụng tập tin httpd.conf ). Mở access.conf hay httpd.conf ra, và tìm đến dòng:

<Directory /var/www>

Options Indexes FollowSymLinks

AllowOverride None

order allow,deny

allow from all

</Directory>

Chú ý: Đây là chỉ định của máy, vì tôi đang sử dụng Debian Apache. Nên muốn sử dụng htaccess, bạn sẽ phải thay đổi dòng AllowOverride theo tuỳ chọn của bạn, Ví dụ:

AllowOverride None

thành

AllowOverride AuthConfig

Sau khi thay đổi, bạn khởi động lại Apache để thực thi. Bây giờ thì thư mục và các thư mục con đã được kích hoạt để sử dụng với htaccess. Bạn chỉ cần cài đặt tập tin .htaccess. Đây có lẽ là một cái tên khá mới mẻ với bạn. .htaccess chứ không phải file.htaccess hay vnunited.htaccess mà chỉ đơn thuần là .htaccess. Và tôi cũng khuyên bạn sử dụng NotePad để soạn thảo cho tập tin .htaccess .

Đây là một ví dụ cho tập tin .htaccess:

AuthUserFile /var/www/.htpasswd

AuthGroupFile /www.null

AuthName "Authorization Required"

AuthType Basic

<Limit GET POST>

require valid-user

</Limit>

AuthUserFile là đường dẫn đến tập tin lưu trữ mật khẩu mà chúng ta sẽ tạo.

AuthGroupFile là đường dẫn đến tập tin lưu trữ mật khẩu của nhóm, chỉ là bảo vệ đơn thuần cho các thành viên và không cần thiết, vì vậy chỉ cần gởi yêu cầu đến /www.null

AuthName là dòng văn bản sẽ hiển thị , thông thường ở các website bạn sẽ thấy dòng chữ là “Authorization Required” nên ở đây tôi cũng dung như vậy. Bạn có thể thay đổi tuỳ ý.

AuthType chỉ cần đặt là Basic.

Ta tiếp tục xem đến các thẻ <Limit> , đây là nơi bạn chỉ định ai có quyền truy cập vào trang giới hạn của bạn. valid-user sẽ chỉ định các thành viên với mật khẩu trong tập tin .htpasswd , hoặc nếu bạn muốn chỉ định rõ một thành viên nào đó thì thay đổi dòng này như sau:

require user Terry

Bây giờ, tập tin .htaccess của bạn đã được cài đặt, bạn cần tiếp tục tạo tập tin .htpasswd . Cũng giống như tập tin .htaccess, htpasswd cũng có tên mặc định là .htpasswd với công thức:

htpasswd tên-tập-tin-password user (bổ sung thẻ -c nếu bạn đang tạo tập tin).

Vì vậy, tôi dùng:

htpasswd -c /var/www/.htpasswd Terry

htpasswd sẽ yêu cầu tôi nhập mật khẩu.

Để tạo một thành viên mới trong cùng một tập tin, chỉ cần bỏ thẻ -c .

Ví dụ: tạo thành viên TP143

htpasswd /var/www/.htpasswd TP143

Khi đựơc thực thi, htpasswd sẽ yêu cầu bạn nhập mật khẩu cho tên đó.

Bây giờ, mọi thứ đã hoàn tất, thư mục mà bạn chỉ định đã được bảo vệ với .htaccess .

(Hết phần 1)

Terry Trần

Email: [email protected]

[tubepress mode=’tag’, tagValue=’Bảo mật với .htaccess’]