Autenticação Apache: permite acesso público a um subdiretório

13

Provavelmente, este é um problema simples, mas não consigo encontrar a solução na documentação.

Quero proteger meu site com senha usando autenticação BASIC. Mas eu quero que um subdiretório não seja protegido:

http://mysite.com/ -> BASIC protected
http://mysite.com/somedir -> BASIC protected
http://mysite.com/someotherdir -> BASIC protected
http://mysite.com/public -> not protected

Não tenho nenhum problema em proteger todo o site, mas não sei como posso "desproteger" um diretório. O site está hospedado em um host compartilhado, portanto, só tenho acesso aos arquivos .htaccess para fazer a configuração.

Existe uma diretiva para negar a autenticação?

Obrigado pela ajuda ...

apache-2.2 authentication

— Guillaume
fonte

Esta parece ser a solução mais correta: stackoverflow.com/questions/2641646/...

— BryanK

10

Não deve ser um problema com .htaccess, dependendo do que o host permitiu.

Você pode tentar colocar um .htaccess na subpasta com o seguinte, embora as substituições precisem ser ativadas para os diretórios em que está.

 Allow From All
 Satisfy Any

— Cilíndrico
fonte

1

O segredo aqui, o IIRC, é colocar o .htaccess na raiz do seu site, mas ter uma entrada nesse arquivo .htaccess como o que o Cylindric fala.

— 21715 Paul Lathrop

E não esqueça de adicionar (ou garantir que exista) um AllowOverride para que o .htaccess seja usado.

— 27630 TCampbell

1

@Paul - Excluí minha resposta, mas a resposta da AFAICR Cylindric está errada no momento? Um arquivo .htaccess em um subdiretório não pode substituir um acima. No entanto, o arquivo .htaccess no diretório pai também pode incluir controles (ou mesmo removê-los) para subdiretórios.

— Alnitak

Tentei colocar uma diretiva <Directory /> na pasta raiz e na pasta que quero que seja pública, mas nos dois casos recebo um HTTP 500. Alguma outra idéia?

— Guillaume

1

Você não pode usar o <Directory> no .htaccess, embora possa usar <Files> e <Location>

— Alnitak

7

OK, para um caminho server.com/private/public:

server.com/private/.htaccess

AuthType Basic
AuthName "Private, keep out."
Require...

server.com/private/public/.htaccess

Allow From All
Satisfy Any

A chave aqui é 'Satisfazer qualquer um' que ORs os requisitos do upstream juntos. 'Satisfazer tudo' é o padrão.

— CK.
fonte

Thx para explicar 'Satisfazer Qualquer' 👍

— Mario

1

Eu acredito que isso pode fazer isso:

# put the global auth stuff here
...

# put the override here
<Location /public>
Allow from All
Satisfy Any
</Location>

— Alnitak
fonte

Nunca é uma boa ideia usar <Location> s para controle de acesso. Ele controla apenas o acesso através de um nome, e não o próprio recurso. Portanto, qualquer coisa que forneça acesso a ele por um nome diferente (Alias, por exemplo) não terá controle de acesso aplicado a ele.

— CK.

1

@CK Na verdade, você deve usar o Location se o local em questão não for um diretório físico, mas apenas um diretório "virtual" disfarçado por algo como mod_rewrite.

— Natalie Adams

0

Eu consegui resolver isso fazendo isso:

<Directory "/path/to/maindirectory">
[... auth stuff ... ]
</Directory>

<Directory "/path/to/mysubdirectory">
 Allow from All
 Satisfy Any
</Directory>

NÃO use Locais, porque eles são feitos para diferenciar maiúsculas de minúsculas e não agem no acesso real à pasta, mas apenas sobre o URL.

Então, por exemplo, se eu escrever

http:/mywebsite/STUFF

ou

http://mywebsite/stuff

ou

http://mywebsite/StUfF

é diferente para o controle de localização, mesmo que o diretório físico chamado seja o mesmo !!!

Em resumo, você verifica o acesso ao diretório "coisas" e posso escrevê-lo com outro caso.

Além disso, o uso do arquivo .htaccess em um único diretório com controle de localização em outras pessoas não funcionou para mim.

Espero que ajude.

— xela92
fonte