<-
Apache > HTTP Server > 文档 > 版本2.2 > 模块
   致谢 | 本篇译者:金步国(其他作品) | 本页最后更新:2006年10月20日[查看最新版本] 电信镜像 网通镜像

Apache模块 mod_auth_digest

说明使用MD5摘要认证(更安全,但是只有最新的浏览器才支持)
状态实验(X)
模块名auth_digest_module
源文件mod_auth_digest.c

概述

这个模块实现了HTTP摘要认证。由于尚未进行过广泛的测试,因此标记为试验模块。

top

使用摘要认证

使用MD5摘要认证很简单。简单的安装认证模块后使用"AuthType Digest"和AuthDigestProvider代替普通的"AuthType Basic"和AuthBasicProvider ,再添加一个AuthDigestDomain指令包含至少是需要保护的区域的根URI。

可以使用htdigest工具来创建和添加(纯文本)用户列表文件。

示例:

<Location /private/>
AuthType Digest
AuthName "private area"
AuthDigestDomain /private/ http://mirror.my.dom/private2/

AuthDigestProvider file
AuthUserFile /web/auth/.digest_pw
Require valid-user
</Location>

注意

摘要认证比基本认证更安全,但是直到2004年9月,只有下列最新版本的主流浏览器支持它:Amaya, Konqueror, MS Internet Explorer 6(使用查询字符串时会失败,参见"配合 MS Internet Explorer 6 工作"), Mozilla, Netscape 7, Opera, Safari 。而lynx不支持摘要认证。因为摘要认证尚未得到绝大多数浏览器的支持,你应当只将它应用在你可以控制用户浏览器版本的场合。

top

配合 MS Internet Explorer 6 工作

Internet Explorer 6 的摘要认证实现有缺陷,也就是GET请求的查询字符串与RFC规范并不兼容。有几个途径来解决这个问题。

第一个途径就是使用POST代替GET来向服务器传送数据。如果你的程序不会受到这种变化的影响,这是最简单的方法。

从2.0.51版本开始,Apache还在环境变量AuthDigestEnableQueryStringHack中提供了一个工作区(workaround)。如果AuthDigestEnableQueryStringHack被打开,Apache将采取措施对付Internet Explorer 6 的bug ,将请求URI从摘要比较中移除。使用这个方法将需要类似如下的配置:

在MSIE6中使用摘要认证

BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On

参见BrowserMatch指令以了解有条件的设置环境变量的更多细节。

top

AuthDigestAlgorithm 指令

说明选择在摘要认证中用于计算请求和应答的散列值的算法
语法AuthDigestAlgorithm MD5|MD5-sess
默认值AuthDigestAlgorithm MD5
作用域directory, .htaccess
覆盖项AuthConfig
状态实验(X)
模块mod_auth_digest

AuthDigestAlgorithm指令选择在摘要认证中用于计算请求和应答的散列值的算法。

MD5-sess算法当前尚未实现。
top

AuthDigestDomain 指令

说明在同一保护区域中需要进行摘要认证的URI
语法AuthDigestDomain URI [URI] ...
作用域directory, .htaccess
覆盖项AuthConfig
状态实验(X)
模块mod_auth_digest

AuthDigestDomain指令用于指定一个或者多个在同一保护区域中需要进行摘要认证的URI(也就是使用相同的区域和用户名/密码信息)。这些被指定的URI只是前缀,也就是说客户端将假定所有位于该URI"之下"的URI亦受到相同用户名/密码的保护。这些被指定的URI可以是绝对URI(也就是包含完整的协议、主机、端口等)或者相对URI。

这个指令必须总是被指定为至少包含被保护页面的根URI。省略这个会导致客户端为每个请求都发送授权头,除了增加请求的字节大小外,如果AuthDigestNcCheck被设为"On",还会影响服务器的性能。

这里指定的URI可以分别指向不同的服务器,在这种情况下客户端将会在这些服务器间共享用户名和密码信息,并且不会提醒用户。

top

AuthDigestNcCheck 指令

说明Enables or disables checking of the nonce-count sent by the server
语法AuthDigestNcCheck On|Off
默认值AuthDigestNcCheck Off
作用域server config
状态实验(X)
模块mod_auth_digest
目前尚未实现。
top

AuthDigestNonceFormat 指令

说明Determines how the nonce is generated
语法AuthDigestNonceFormat format
作用域directory, .htaccess
覆盖项AuthConfig
状态实验(X)
模块mod_auth_digest
目前尚未实现。
top

AuthDigestNonceLifetime 指令

说明服务器nonce(当前值)的有效秒数
语法AuthDigestNonceLifetime seconds
默认值AuthDigestNonceLifetime 300
作用域directory, .htaccess
覆盖项AuthConfig
状态实验(X)
模块mod_auth_digest

AuthDigestNonceLifetime指令控制服务器nonce(当前值)的有效秒数。当客户端连接服务器时使用了一个过期的nonce(当前值),服务器将返回一个带有"stale=true"的401错误(要求重新认证)。如果seconds小于等于"0",那么nonce(当前值)将永远不会过期(强烈反对这么做)。一般这个值应当在60到600之间比较合理(最好不要小于10)。

top

AuthDigestProvider 指令

说明设置该区域的(摘要)认证支持者(Provider)
语法AuthDigestProvider provider-name [provider-name] ...
默认值AuthDigestProvider file
作用域directory, .htaccess
覆盖项AuthConfig
状态实验(X)
模块mod_auth_digest

AuthDigestProvider指令设置了该区域的(摘要)认证支持者(Provider)。默认的file支持者由mod_authn_file模块实现。必须确保所需的认证支持模块存在于服务器中(静态连接或DSO)。

能够提供认证支持者(Provider)的模块如下:mod_authn_dbmmod_authn_file

top

AuthDigestQop 指令

说明指定摘要认证的保护质量
语法AuthDigestQop none|auth|auth-int [auth|auth-int]
默认值AuthDigestQop auth
作用域directory, .htaccess
覆盖项AuthConfig
状态实验(X)
模块mod_auth_digest

AuthDigestQop指令用于指定使用那个级别的保护质量(quality-of-protection)auth将只进行认证(用户名/密码);auth-int除了认证以外还进行完整性校验(实体的MD5值将被计算和检查);none将使用旧的RFC-2069摘要算法(不包含完整性检查);authauth-int可以同时指定,在这种情况下,浏览器将会自己选择使用哪种一种。none不推荐使用。

auth-int目前尚未支持。
top

AuthDigestShmemSize 指令

说明为了跟踪客户端而分配的共享内存字节数
语法AuthDigestShmemSize size
默认值AuthDigestShmemSize 1000
作用域server config
状态实验(X)
模块mod_auth_digest

AuthDigestShmemSize指令指定了服务器启动时为了跟踪客户端而分配的共享内存字节数。注意,这个共享内存段不能设置为小于只跟踪一个客户端所需要的最小内存数量,这个最小数量取决于你的系统。如果你想知道这个最小值,你只要将AuthDigestShmemSize设为"0",然后读取重启Apache时返回的错误信息即可(Win和Linux都是每链接需要128字节)。

size通常按照字节计算,但是可以通过加上后缀"K"或"M"来按照KB或MB计算。比如,以下写法都是一样的:

AuthDigestShmemSize 1048576
AuthDigestShmemSize 1024K
AuthDigestShmemSize 1M