\|< <	2024年4月	> >\|
日	月	火	水	木	金	土
	1	2	3	4	5	6
7	8	9	10	11	12	13
14	15	16	17	18	19	20
21	22	23	24	25	26	27
28	29	30

CGI 2016年08月22日 10:57 編集

ベーシック認証

ユーザー専用ディレクトリに直接アクセスされるのを防ぐため、オプションで.htaccessによるベーシック認証機能を追加できるようにしました。.htaccessに対応しているサーバーでのみ使用可能です。
ブラウザから直接専用ディレクトリにアクセスしてファイルをダウンロードする必要はなくなったので、すべてのユーザーからのアクセスを拒否するように変更してもよかったのですが、登録ユーザー名とパスワードでアクセスできるという仕様はそのままです。しかし、まず使う必要はないし、普段は特に意識する必要はありません。

.htaccessが使えないサーバーでは、せめてディレクトリの中身の一覧が見られないように、ディレクトリ作成時に中にindex.htmlを作成する $make_index を1にしておいた方がいいでしょう。
ユーザー登録で作成される専用ディレクトリ名がランダムな文字列で生成されるのも、外部から直接専用ディレクトリにアクセスされにくくするためです。

.htaccessと.htpasswd

ベーシック認証に必要な.htaccessと.htpasswd はユーザー登録、修正時にCGIが自動的に作成するので、通常は特に意識する必要はありませんが、簡単に仕組みを説明しておきます。
.htaccess をおいたディレクトリと、その下層ディレクトリにベーシック認証が有効になります。
.htaccess 内には、このディレクトリにはベーシック認証が必要ですということと、認証に照合するパスワードを書いたファイルへのパスが書かれています。

たとえば、ユーザー1の設定ディレクトリ(ユーザー1がアクセスできる最上層のディレクトリ。以下ルートディレクトリと呼ぶ)が./upload/dir1だとすると、このディレクトリ内に.htaccessに置きます。
.htaccess内には、ユーザー1のパスワードの保存先を記入することになります。
パスワードの保存先は専用のディレクトリ内にします。外から存在がわからないように名前をランダムな文字列にします。このディレクトリ内はアップロード用ディレクトリ内と同じディレクトリ構成にして、該当ディレクトリ内に.htpasswdを作成します。
.htpasswdにはユーザーIDとパスワードを書き込みます。

multiupload/ multiupload.cgi
   |
   +--- upload / (ユーザー2のルートディレクトリ)
   |	  |
   |	  +--- .htaccess (パスワードファイルへのパス
   |	  |				  jhf5S30j78vc/upload/.htpasswd)
   |	  |
   |	  +--- dir1 / (ユーザー1のルートディレクトリ)
   |			|
   |			+--- .htaccess (パスワードファイルへのパス
   |							 jhf5S30j78vc/upload/dir1/.htpasswd)
   +--- jhf5S30j78vc /
		  |
		  +--- upload /
				|
				+--- .htpasswd (ユーザー2のパスワード保存)
				|
				+--- dir1 /
					  |
					  +--- .htpasswd (ユーザー1のパスワード保存)

このユーザー1のルートディレクトリより、上層のディレクトリをルートディレクトリに設定されたユーザー(たとえば./uploadをルートディレクトリにするユーザー2)にとっては、ユーザー1のルートディレクトリ(./upload/dir1)はサブディレクトリに相当します。

下層ディレクトリには、認証無しでアクセスできるようにしたいのですが、下層の.htaccessの設定が優先されるらしいので、./uploadに.htaccess を置いて、jhf5S30j78vc/uploadに.htpasswdを置くだけではアクセスできません。

このため、ユーザー設定時にルートディレクトリの下層に他のユーザーのルートディレクトリがある場合は、その下層ディレクトリに相当する.htpasswd にもパスワードを保存することにしました。
逆に設定したユーザーのルートディレクトリの上層のディレクトリをルートディレクトリとするユーザーがいたら、そのパスワードも.htpasswd に保存する必要があります。

multiupload/ multiupload.cgi
   |
   +--- upload / (ユーザー2のルートディレクトリ)
   |	  |
   |	  +--- .htaccess (パスワードファイルへのパス
   |	  |				  jhf5S30j78vc/upload/.htpasswd)
   |	  |
   |	  +--- dir1 / (ユーザー1のルートディレクトリ)
   |			|
   |			+--- .htaccess (パスワードファイルへのパス
   |							 jhf5S30j78vc/upload/dir1/.htpasswd)
   +--- jhf5S30j78vc /
		  |
		  +--- upload /
				|
				+--- .htpasswd (ユーザー2のパスワード保存)
				|
				+--- dir1 /
					  |
					  +--- .htpasswd (ユーザー1とユーザー2のパスワード保存)

.htpasswd に保存するパスワードですが、ローカルサーバで実験したときはcryptしたパスワードでは照合できず、生のパスワードでないとダメでした。
このため、わざわざ別に生のパスワードを保存する処理を追加していたのですが、その後Web上でテストしてみると、cryptしたパスワードで大丈夫なことがわかりました。
結局生のパスワードは保存しないですむことになりました。
.htpasswdも直接見られる心配はないのかもしれませんが、パスワード保存ディレクトリは、管理者パスワード生成時に自動的にランダムな文字列のディレクトリ名を作成するようにしています。

counter:5,356