Buenas a todos, hoy quiero enseñarles como protejer una carpeta o una web con autenticación, es decir poner datos de acceso para ver el contenido. Lo logramos mediante el .htaccess (hypertext access) que no es mas que un fichero que también nos permite definir diferentes directivas de configuración para cada directorio (con sus respectivos subdirectorios) sin necesidad de editar el archivo de configuración principal de Apache.
Ejemplo
# /home/usuario1/directorio1/ --> Configuración 1 -> URLS semánticas o amigables (máximo dos niveles). # /home/usuario1/directorio2/ --> Configuración 2 -> Restricción, directorio privado. # /home/usuario2/directorio1/ --> Configuración 1 -> URLS semánticas o amigables (máximo cinco niveles). # /home/usuario2/directorio1/ --> Configuración 2 -> Denegar el acceso a un rango de IP's # #... # # ''/ruta/directorioX/'' --> Configuración x
Muchas ventajas se desprenden de los ejemplos listados anteriormente. En primer lugar cabe destacar que, las directas definidas en el .htaccess se reflejan instantáneamente en los directorios por lo que no es necesario reiniciar apache. Permite que distintos usuarios puedan fácilmente adaptar el servidor apache a sus necesidades, teniendo solo niveles medios de privilegio.
Usos frecuentes del.htaccess
El fichero.htaccess ofrece un universo de posibilidades, detallamos a continuación los usos más frecuentes.
- Restringir el acceso a directorios
- Restringir el acceso a IPs o ISPs
- Creación de URLs Amigables (semánticas)
- Manejar errores del servidor.
- Crear redirecciones estáticas
- Controlar Cache
- Evitar hotlink
- Forzar Dominio sin WWW
Restringir el acceso a directorios
En muchos sitios he visto como proteger directorios web en un servidor Apache por medio de htaccess. El tema es que por defecto, en Apache, la directiva AllowOverride no la vamos a encontrar en none y con esta asignación el servidor va obviar el fichero htaccess, con lo cual nuestro mecanismo para proteger una carpeta no va a funcionar. Los estados que puede tomar la directiva AllowOverride son Authconfig, Fileinfo, Indexes, Limit, Options, All y none.
Podemos ver una explicación detallada del funcionamiento de cada uno aquí. Pero en cualquier caso, si lo que queremos es implementar un mecanismo de autenticación deberíamos usar la directiva AllowOverride con el valor Authconfig. Los pasos siguientes serían crear el fichero .htaccess en la carpeta a proteger con algo parecido a esto:
AuthUserFile /etc/apache/.htpasswd AuthType Basic AuthName "Sitio web restringido" require valid-user
Para crear el fichero con los logins:
htpasswd -c /etc/apache/.htpasswd miNombredeUsuario
Teniendo en cuenta sacar el fichero de credenciales fuera del directorio web y también afinar los permisos adecuadamente.
Restringir el acceso a IPs o ISPs
order allow,deny deny from [ESCRIBIR-IP] deny from [ESCRIBIR-IP] allow from all
Creación de URLs Amigables (semánticas)
# Habilitar el modulo RewriteEngine on RewriteBase / # No reescribir imágenes ni css (aunque se podría usar el tag <base> dentro del html) RewriteRule \.(css|jpe?g|gif|png)$ - [L] RewriteRule ^([a-z]{2})/([a-z\-0-9]+)/([a-z\-0-9]+)\.html$ /usuario/index.php?langCode=$1&view=$2&title=$3 [L] # Regla formada por 3 expresiones regulares sencillas, \.html$ agrega el sufijo.html # URLs de ejemplo # http://dominio.com/es/articulo/urls-amigables-htaccess.html # http://dominio.com/en/article/semantic-urls-htaccess.html
Manejar errores del servidor.
ErrorDocument 500 http://foo.example.com/debug/ ErrorDocument 404 /error/404.php ErrorDocument 401 /info.html ErrorDocument 403 "Hoy es navidad deja un rato Internet y ve a saludar a tu familia"
Crear redirecciones estáticas
redirect 301 /directorioViejo/archivoVidejo.htm http://www.dominio.com/[NUEVA-URL]
Controlar Cache
Header set Cache-Control "public" Header set Expires "Thu, 15 Apr 2010 20:00:00 GMT" Header unset Last-Modified
Evitar Hotlink
RewriteCond %{HTTP_REFERER} !^$ RewriteCond %{HTTP_REFERER} !^http://dominio.com$ [NC] RewriteCond %{HTTP_REFERER} !^http://dominio.com/.*$ [NC] RewriteCond %{HTTP_REFERER} !^http://www.dominio.com$ [NC] RewriteCond %{HTTP_REFERER} !^http://www.dominio.com/.*$ [NC] RewriteRule.*\.(gif|jpg|jpeg|png|bmp)$ - [F,NC,L]
Forzar Dominio con o sin WWW
Options +FollowSymlinks RewriteEngine on RewriteCond %{HTTP_HOST} ^www\.(.*) [NC] RewriteRule ^(.*)$ http://%1/$1 [R=301,NC,L]
Dejar una contestacion