Apache的訪問控制指對任何資源的任何方式的訪問控制。
一、基於主機或者IP地址的控制
這種訪問控制基於訪問者的主機名或者IP地址,通過使用 Deny 和 Allow 指令,實現允許或者禁止某個主機訪問我們的服務器資源。通常 Order 指令也會一起使用,來定義 Deny 和 Allows 指令起作用的順序。如果不使用 Order 指令,默認的順序為 Deny, Allow, 就相當於 Order Deny,Allow。
Order 指令和 Allow,Deny 指令配合使用,實現了一個三步控制系統。
第一步:根據Order的順序,將順序在前的所有的Allow指令或者Deny指令應用於當前請求;也就是說如果是 Order allow,deny ,那麼第一步就是將所有的Allow指令應用於當前訪問,如果有匹配,那麼就允許該訪問;如果沒有匹配到一條Allow指令,那麼就禁止其訪問;
第二步:將剩下的另外一個指令的所有語句跟當前請求匹配,如果有匹配就執行相應的訪問控制;
第三步:如果當前請求沒有在前兩步匹配到任何指令,就執行 Order 指令中後面的那個指令。
下面,通過一個例子理解一下:
使指定目錄下的資源只讓本地訪問
<Directory "/server">
Order allow,deny
Allow from 127.0.0.1
</Directory>
第一步: 本地的訪問匹配了 Allow from 127.0.0.1 這條指令,所以被允許;其他的主機沒有匹配到任何一條Allow指令,所以被禁止訪問;
第二步:所有訪問都沒有匹配到 Deny 指令;
第三步:沒有匹配到任何指令的訪問,也就是不是本地的訪問,按照 Order 指令,執行後面的 deny 的指令,所以被禁止訪問;
二、根據環境變量的訪問控制
這種方式可以通過 Allow from env= 或者 Deny from env= 語法實現,比如只允許使用火狐浏覽器的客戶訪問:
<Directory "/server">
SetEnvIf User-Agent "Firefox" ff=1
Order allow,deny
Allow from env=ff
</Directory>
三、使用 mod_rewrite 實現訪問控制
通過 mod_rewrite 指令的 [F] 標志,可以基於任何的標准對一個資源實現訪問控制。
比如,我希望早八點到晚六點的時候才能訪問任何資源,我就可以這樣:
RewriteEngine On
RewriteCond %{TIME_HOUR} >20 [OR]
RewriteCond %{TIME_HOUR} <07
RewriteRule ^/fridge - [F]
這樣的話,晚上八點以後到早上7點,都會返回 403
