Cómo asegurar un directorio en Apache usando una sesión PHP

Tengo un sitio que usa sesión PHP para autenticación. Hay un directorio al que me gustaría restringir el acceso al que no usa PHP, solo está lleno de contenido estático.

Simplemente no sé cómo restringir el acceso sin que cada solicitud pase por un script PHP. ¿Hay alguna forma de hacer que Apache verifique las credenciales de la sesión y restrinja el acceso como la autenticación básica?

A menos que haya cambiado la configuración, los datos de sesión de PHP se almacenan en una variación en su propio formato de serialización () en un directorio temporal, y no es fácil llegar a eso sin usar PHP.

desafortunadamente, parece querer la velocidad de los archivos estáticos servidos al tiempo que autoriza dinámicamente cada solicitud, que no son objetivos realmente compatibles. Puede comprimir al tener un script PHP súper ligero que luego usa mod_rewrite para reescribir las solicitudes a los archivos dentro de él, que pasa por cosas que están bien. Ejemplo super simple:

.htaccess:

 RewriteEngine On
 RewriteMap auth prg:auth.php
 RewriteRule (.*) ${auth:$1}

auth.php:

#!/usr/bin/php
 <?PHP
 set_time_limit(0); # This program needs to run forever. 
 $stdin = fopen("php://stdin","r"); # Keeps reading from standard in
 while (true) {
        $line = trim(fgets($stdin));
        if (isset($_SESSION['USER_LOGGED_IN'])) {
                echo $line\n";
        } else {
                echo "authfailed.html\n";
        }
 }

en particular, ese script PHP se ejecuta para siempre, por lo que necesitará reiniciar apache si lo cambia, creo.

Todo esto no ha sido probado, pero esa es aproximadamente la dirección en la que creo que tendrías que ir.

Referencias

• http://httpd.apache.org/docs/1.3/mod/mod_rewrite.html#RewriteMap
• http://onlamp.com/pub/a/apache/2005/04/28/apacheckbk.html
• http://www.wellho.net/resources/ex.php4?item=a603/andy

Si tenía una cookie en particular que puede esperar, puede probar su ausencia con mod_rewrite y dar un 403 Prohibido.

RewriteCond %{HTTP_COOKIE} !LoggedIn=true
RewriteRule .* - [F,L]

Pero, si alguien supiera que necesitaban un conjunto de cookies con "LoggedIn = true", entonces podrían evadir fácilmente su "protección".

Una sesión PHP es específica de PHP. Apache no tiene forma de usar ninguna información en una sesión PHP. Tendría que tener algún módulo de autenticación específicamente para hacer la verificación de la sesión.

Lo que he visto hacer a la mayoría de las personas es que un script PHP maneje la publicación del contenido estático en el sentido de que recibe la solicitud, verifica la sesión, lee el archivo y envía el contenido con la información MIME adecuada.

La solución convencional para ese problema es redirigir cada llamada en esa carpeta a un archivo php, que verifica los permisos del usuario, y luego lee el archivo y lo envía a la secuencia de salida o redirige al usuario a "sin permiso" sitio. Por ejemplo...

Otra forma complicada de proteger sus archivos es generar un token desde session_id y una sal estática (y opcionalmente desde la ruta del archivo estático), y verificarlo mediante el acceso al archivo. Por lo tanto, debe regenerar ese token en su archivo htaccess. No sé si es posible solo con .htaccess, o si tienes que usar php para eso. Encontré una solución similar aquí. Estoy 99% convencido de que el md5 no es una función de reescritura de mod incorporada.

Mi plan para resolver este problema ahora es

1. Redireccionar la solicitud a PHP

   RewriteEngine on
   RewriteRule ([0-9a-z-_]+)$ authenticateUser.php?&file=$1 [L]
   

2. Autentique al usuario en PHP (todos los demás métodos de autenticación pueden ser demasiado débiles o requieren escritura en archivos todo el tiempo)

   if ( User::hasPermission() && isSane( $filePath ) ) {
       // 
       header( 'X-Sendfile: ' . $filePath );
   }
   

3. Usa Apache's mod_xsendfile( docs , github )

Sí a la autenticación básica si está utilizando mod_php. http://php.net/manual/en/features.http-auth.php