使用密钥的Apache身份验证

Question

我对Apache和身份验证的概念有些陌生。我正在创建一个洪水模拟器的前端，它提供代表模拟数据的图像。我想限制访问这些图像的那些谁知道关键的模拟。不需要一个完整的用户名和密码组合，因为这里唯一的功能是查看模拟。

看起来，Apache身份验证方法需要用户名和密码或类似的东西。我真正想要的是，当某人在主页上输入相应的键时，可以暂时看到他们所要求的内容。我不太清楚该怎么做，所以我们很感谢你的帮助。

Answer 1

让我首先说，我认为这是一个糟糕的想法；您想要使共享秘密(“模拟的关键”)的知识成为一种能力；也就是说，一个识别特定数据集的秘密，而有关该秘密的知识是访问数据集的授权证明。这是一种不透明的安全机制，随着时间的推移，你几乎无法控制对运行数据的访问:如果你认为知识已经传播，你就不能排除一些拥有秘密的人而不排除所有人。

但是，如果您坚持这样做，那么您根本不必做任何聪明的事情:只需将秘密放入URL中即可。例如，假设您的数据集存储在http://sets.example.com/data/下，并且该目录不可列表。给定一组密钥为b8ab010d69f6008384d39bd3c0efeb0c的秘密，将其存储在http://sets.example.com/data/b8ab010d69f6008384d39bd3c0efeb0c/下；给定一组具有不同密钥的秘密，将它们存储在相应的不同的URL下。

如果您想要从主页(“允许在主页上输入相应的键时查看他们要求的内容”)中的重定向器，编写它就变得很简单:输入任何键并被重定向到http://sets.example.com/data/THAT-KEY/的一行代码。不需要对“键”进行检查；如果输入了无效的密钥，用户只会得到一个404 not found错误。

编辑:使目录不可列表的最快方法是在目录中放置一个零长度的index.html。但正如我所指出的，还有其他的。在我写这篇文章的时候，我意识到，我所描述的正是迈克尔·汉普顿在上面对你的问题(非常，也许过于)简洁而准确的评论中所暗示的。

Answer 2

抱歉，我不想劫持MadHatter的回答。要使目录不可列表，可以在虚拟主机条目中添加选项"-Indexes“(没有引号)。

<VirtualHost *:80> ServerAlias domain.com ServerAdmin webmaster@domain.com DocumentRoot /DocumentRoot Options -Indexes OtherOption1 OtherOption2等。<\VirtualHost>