如果一个站点有php会话来强制对站点上用php实现的页面进行身份验证/授权,那么相同的逻辑如何强制访问某些文件.
让我们说一个目录中的文件存储库.所以/ var / www / html /是通过身份验证保护的,但是这个PHP身份验证逻辑不会禁止用户只是转到http://site.com/someDirectory/fileIShouldNotAccess.txt并拉动该文件.
如何将php会话和身份验证与apache结合起来以强制执行此类行为?
最佳答案 由于当用户请求非PHP文件时不会调用PHP,因此您不能让Apache强制执行PHP的访问保护.您可以在Apache中进行非常粗略且易于伪造的检查,以确保存在会话ID cookie,但这是非常不安全的.它只是检查cookie是否在那里,而不是它代表一个有效的会话或者用户实际上被授予了访问权限.
这个答案可能有所帮助. Using PHP/Apache to restrict access to static files (html, css, img, etc).基本上,您通过PHP脚本提供所有受保护的内容,而不是提供直接访问.