ThinkChat🤖让你学习和工作更高效,注册即送10W Token,即刻开启你的AI之旅 广告
# Apache模块 mod_auth_digest | [说明](#calibre_link-11) | 使用MD5摘要认证(更安全,但是只有最新的浏览器才支持) | | --- | --- | | [状态](#calibre_link-12) | 实验(X) | | [模块名](#calibre_link-13) | auth_digest_module | | [源文件](#calibre_link-14) | mod_auth_digest.c | ### 概述 这个模块实现了HTTP摘要认证。由于尚未进行过广泛的测试,因此标记为试验模块。 ## 使用摘要认证 使用MD5摘要认证很简单。简单的安装认证模块后使用"`AuthType Digest`"和`AuthDigestProvider`代替普通的"`AuthType Basic`"和`AuthBasicProvider` ,再添加一个`AuthDigestDomain`指令包含至少是需要保护的区域的根URI。 可以使用`htdigest`工具来创建和添加(纯文本)用户列表文件。 ### 示例: ``` <Location /private/> AuthType Digest AuthName "private area" AuthDigestDomain /private/ http://mirror.my.dom/private2/ AuthDigestProvider file AuthUserFile /web/auth/.digest_pw Require valid-user </Location> ``` ### 注意 摘要认证比基本认证更安全,但是直到2004年9月,只有下列最新版本的主流浏览器支持它:[Amaya](http://www.w3.org/Amaya/), [Konqueror](http://konqueror.kde.org/), [MS Internet Explorer 6](http://www.microsoft.com/windows/ie/)(使用查询字符串时会失败,参见"[配合 MS Internet Explorer 6 工作](#calibre_link-951)"), [Mozilla](http://www.mozilla.org), [Netscape 7](http://channels.netscape.com/ns/browsers/download.jsp), [Opera](http://www.opera.com/), [Safari](http://www.apple.com/safari/) 。而[lynx](http://lynx.isc.org/)**不支持**摘要认证。因为摘要认证尚未得到绝大多数浏览器的支持,你应当只将它应用在你可以控制用户浏览器版本的场合。 ## 配合 MS Internet Explorer 6 工作 Internet Explorer 6 的摘要认证实现有缺陷,也就是`GET`请求的查询字符串与RFC规范并不兼容。有几个途径来解决这个问题。 第一个途径就是使用`POST`代替`GET`来向服务器传送数据。如果你的程序不会受到这种变化的影响,这是最简单的方法。 从2.0.51版本开始,Apache还在环境变量`AuthDigestEnableQueryStringHack`中提供了一个工作区(workaround)。如果`AuthDigestEnableQueryStringHack`被打开,Apache将采取措施对付Internet Explorer 6 的bug ,将请求URI从摘要比较中移除。使用这个方法将需要类似如下的配置: ### 在MSIE6中使用摘要认证 ``` BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On ``` 参见`BrowserMatch`指令以了解有条件的设置环境变量的更多细节。 ## AuthDigestAlgorithm 指令 | [说明](#calibre_link-18) | 选择在摘要认证中用于计算请求和应答的散列值的算法 | | --- | --- | | [语法](#calibre_link-19) | `AuthDigestAlgorithm MD5&#124;MD5-sess` | | [默认值](#calibre_link-24) | `AuthDigestAlgorithm MD5` | | [作用域](#calibre_link-20) | directory, .htaccess | | [覆盖项](#calibre_link-66) | AuthConfig | | [状态](#calibre_link-21) | 实验(X) | | [模块](#calibre_link-22) | mod_auth_digest | `AuthDigestAlgorithm`指令选择在摘要认证中用于计算请求和应答的散列值的算法。 `MD5-sess`算法当前尚未实现。 ## AuthDigestDomain 指令 | [说明](#calibre_link-18) | 在同一保护区域中需要进行摘要认证的URI | | --- | --- | | [语法](#calibre_link-19) | `AuthDigestDomain URI [URI] ...` | | [作用域](#calibre_link-20) | directory, .htaccess | | [覆盖项](#calibre_link-66) | AuthConfig | | [状态](#calibre_link-21) | 实验(X) | | [模块](#calibre_link-22) | mod_auth_digest | `AuthDigestDomain`指令用于指定一个或者多个在同一保护区域中需要进行摘要认证的URI(也就是使用相同的区域和用户名/密码信息)。这些被指定的URI只是前缀,也就是说客户端将假定所有位于该URI"之下"的URI亦受到相同用户名/密码的保护。这些被指定的URI可以是绝对URI(也就是包含完整的协议、主机、端口等)或者相对URI。 这个指令_必须_总是被指定为至少包含被保护页面的根URI。省略这个会导致客户端为_每个请求_都发送授权头,除了增加请求的字节大小外,如果`AuthDigestNcCheck`被设为"On",还会影响服务器的性能。 这里指定的URI可以分别指向不同的服务器,在这种情况下客户端将会在这些服务器间共享用户名和密码信息,并且不会提醒用户。 ## AuthDigestNcCheck 指令 | [说明](#calibre_link-18) | Enables or disables checking of the nonce-count sent by the server | | --- | --- | | [语法](#calibre_link-19) | `AuthDigestNcCheck On&#124;Off` | | [默认值](#calibre_link-24) | `AuthDigestNcCheck Off` | | [作用域](#calibre_link-20) | server config | | [状态](#calibre_link-21) | 实验(X) | | [模块](#calibre_link-22) | mod_auth_digest | 目前尚未实现。 ## AuthDigestNonceFormat 指令 | [说明](#calibre_link-18) | Determines how the nonce is generated | | --- | --- | | [语法](#calibre_link-19) | `AuthDigestNonceFormat format` | | [作用域](#calibre_link-20) | directory, .htaccess | | [覆盖项](#calibre_link-66) | AuthConfig | | [状态](#calibre_link-21) | 实验(X) | | [模块](#calibre_link-22) | mod_auth_digest | 目前尚未实现。 ## AuthDigestNonceLifetime 指令 | [说明](#calibre_link-18) | 服务器nonce(当前值)的有效秒数 | | --- | --- | | [语法](#calibre_link-19) | `AuthDigestNonceLifetime seconds` | | [默认值](#calibre_link-24) | `AuthDigestNonceLifetime 300` | | [作用域](#calibre_link-20) | directory, .htaccess | | [覆盖项](#calibre_link-66) | AuthConfig | | [状态](#calibre_link-21) | 实验(X) | | [模块](#calibre_link-22) | mod_auth_digest | `AuthDigestNonceLifetime`指令控制服务器nonce(当前值)的有效秒数。当客户端连接服务器时使用了一个过期的nonce(当前值),服务器将返回一个带有"`stale=true`"的401错误(要求重新认证)。如果seconds小于等于"0",那么nonce(当前值)将永远不会过期(强烈反对这么做)。一般这个值应当在30到120之间比较合理(最好不要小于10)。 ## AuthDigestProvider 指令 | [说明](#calibre_link-18) | 设置该区域的(摘要)认证支持者(Provider) | | --- | --- | | [语法](#calibre_link-19) | `AuthDigestProvider provider-name [provider-name] ...` | | [默认值](#calibre_link-24) | `AuthDigestProvider file` | | [作用域](#calibre_link-20) | directory, .htaccess | | [覆盖项](#calibre_link-66) | AuthConfig | | [状态](#calibre_link-21) | 实验(X) | | [模块](#calibre_link-22) | mod_auth_digest | `AuthDigestProvider`指令设置了该区域的(摘要)认证支持者(Provider)。默认的`file`支持者由`mod_authn_file`模块实现。必须确保所需的认证支持模块存在于服务器中(静态连接或DSO)。 能够提供认证支持者(Provider)的模块如下:`mod_authn_dbm`和`mod_authn_file` 。 ## AuthDigestQop 指令 | [说明](#calibre_link-18) | 指定摘要认证的保护质量 | | --- | --- | | [语法](#calibre_link-19) | `AuthDigestQop none&#124;auth&#124;auth-int [auth&#124;auth-int]` | | [默认值](#calibre_link-24) | `AuthDigestQop auth` | | [作用域](#calibre_link-20) | directory, .htaccess | | [覆盖项](#calibre_link-66) | AuthConfig | | [状态](#calibre_link-21) | 实验(X) | | [模块](#calibre_link-22) | mod_auth_digest | `AuthDigestQop`指令用于指定使用那个级别的&lt;dfn class="calibre27"&gt;保护质量(quality-of-protection)&lt;/dfn&gt;。`auth`将只进行认证(用户名/密码);`auth-int`除了认证以外还进行完整性校验(实体的MD5值将被计算和检查);`none`将使用旧的RFC-2069摘要算法(不包含完整性检查);`auth`和`auth-int`可以同时指定,在这种情况下,浏览器将会自己选择使用哪种一种。`none`不推荐使用。 `auth-int`目前尚未支持。 ## AuthDigestShmemSize 指令 | [说明](#calibre_link-18) | 为了跟踪客户端而分配的共享内存字节数 | | --- | --- | | [语法](#calibre_link-19) | `AuthDigestShmemSize size` | | [默认值](#calibre_link-24) | `AuthDigestShmemSize 1000` | | [作用域](#calibre_link-20) | server config | | [状态](#calibre_link-21) | 实验(X) | | [模块](#calibre_link-22) | mod_auth_digest | `AuthDigestShmemSize`指令指定了服务器启动时为了跟踪客户端而分配的共享内存字节数。注意,这个共享内存段不能设置为小于只跟踪_一个_客户端所需要的最小内存数量,这个最小数量取决于你的系统。如果你想知道这个最小值,你只要将`AuthDigestShmemSize`设为"`0`",然后读取重启Apache时返回的错误信息即可。 size通常按照字节计算,但是可以通过加上后缀"`K`"或"`M`"来按照KB或MB计算。比如,以下写法都是一样的: ``` AuthDigestShmemSize 1048576 AuthDigestShmemSize 1024K AuthDigestShmemSize 1M ```