htaccess从基本身份验证中排除一个网址

我需要从普通的htaccess基本身份验证保护中排除一个网址（或更好的一个前缀）。像/callbacks/myBank还是/callbacks/.* ，您有任何提示如何做吗？

我不想要的是如何排除文件。这必须是url（因为这是基于PHP框架的解决方案，并且所有url都使用重定向mod_rewrite到index.php）。因此，该URL下没有文件。没有。

其中一些url只是来自其他服务的回调（未知IP，因此我无法基于IP排除），并且它们无法提示输入用户名/密码。

当前定义很简单：

AuthName "Please login."
AuthGroupFile /dev/null
AuthType Basic
AuthUserFile /xxx/.htpasswd
require valid-user 

如果您使用的是Apache 2.4，SetEnvIf则由于该Require指令能够直接解释表达式，因此不再需要mod_rewrite解决方法：

AuthType Basic
AuthName "Please login."
AuthUserFile "/xxx/.htpasswd"

Require expr %{REQUEST_URI} =~ m#^/callbacks/.*#
Require valid-user

Apache 2.4对待未按其分组的Require指令，就像它们在一样，其行为类似于“或”语句。这是一个更复杂的示例，该示例演示了将请求URI和查询字符串都匹配到一起，并回退到需要有效用户的情况：<RequireAll><RequireAny>

AuthType Basic
AuthName "Please login."
AuthUserFile "/xxx/.htpasswd"

<RequireAny>
    <RequireAll>
        # I'm using the alternate matching form here so I don't have
        # to escape the /'s in the URL.
        Require expr %{REQUEST_URI} =~ m#^/callbacks/.*#

        # You can also match on the query string, which is more
        # convenient than SetEnvIf.
        #Require expr %{QUERY_STRING} = 'secret_var=42'
    </RequireAll>

    Require valid-user
</RequireAny>

本示例将允许访问，/callbacks/foo?secret_var=42但需要使用的用户名和密码/callbacks/foo。

请记住，除非您使用<RequireAll>，否则Apache会尝试Require 按顺序匹配每个条件，因此请考虑您要首先允许哪些条件。

该Require指令的参考在这里：https : //httpd.apache.org/docs/2.4/mod/mod_authz_core.html#require

而expr分裂国家基准是在这里：https://httpd.apache.org/docs/2.4/expr.html

使用SetEnvIf，可以在请求以某个路径开头时创建一个变量，然后使用该Satisfy Any指令避免必须登录。

# set an environtment variable "noauth" if the request starts with "/callbacks/"
SetEnvIf Request_URI ^/callbacks/ noauth=1

# the auth block
AuthName "Please login."
AuthGroupFile /dev/null
AuthType Basic
AuthUserFile /xxx/.htpasswd

# Here is where we allow/deny
Order Deny,Allow
Satisfy any
Deny from all
Require valid-user
Allow from env=noauth

指令的allow / deny块表示拒绝EVERYONE的访问，除非有有效用户（成功的BASIC auth登录）或noauth设置了变量。

该解决方案效果很好，您只需要定义要通过的白名单即可。

SetEnvIfNoCase Request_URI "^/status\.php" noauth

AuthType Basic
AuthName "Identify yourself"
AuthUserFile /path/to/.htpasswd
Require valid-user

Order Deny,Allow
Deny from all
Allow from env=noauth

Satisfy any

我尝试了其他解决方案，但这对我有用。希望它将对其他人有所帮助。

# Auth stuff
AuthName "Authorized personnel only."
AuthType Basic
AuthUserFile /path/to/your/htpasswd/file

SetEnvIf Request_URI "^/index.php/api/*" allow
Order allow,deny
Require valid-user
Allow from env=allow
Deny from env=!allow
Satisfy any

这将允许api网址和之后的所有网址字符串 /index.php/api/，而无需登录，然后会提示其他任何内容。

例：

mywebsite.com/index.php/api将打开而没有提示登录 mywebsite.com/index.php/api/soap/?wsdl=1将打开而没有提示登录 mywebsite.com将提示您先登录

<location />
        SetEnvIf Request_URI "/callback/.*" REDIRECT_noauth=1

        AuthType Basic
        AuthName "Restricted Files"
        AuthUserFile /etc/httpd/passwords/passwords
        Order Deny,Allow
        Satisfy any
        Deny from all
        Allow from env=REDIRECT_noauth
        Require user yournickname
</location>

如果您要保护的区域具有用于控制所有内容的整体PHP脚本（如Wordpress），则可以采用这种方法。在其他目录中设置身份验证。将index.php放置在路径“ /”上设置cookie。然后在Wordpress中（例如），检查cookie，但是绕过检查$ _SERVER ['REQUEST_URI']是否为排除的URL。

在我的共享托管平台上，RewriteRule无法设置可与“满足任何条件”一起使用的环境变量。

使用任何方法，请注意您要保护的页面不包括图像，样式表等，当页面本身不包含时会触发身份验证请求。

将以下代码添加到您的htaccess根文件中，不要忘记更改您的管理url.htpasswd文件页面。

<Files "admin.php">
        AuthName "Cron auth"
        AuthUserFile E:\wamp\www\mg\.htpasswd
        AuthType basic
        Require valid-user
    </Files>

在您的根文件夹中创建.htpasswd文件，并在下面添加用户名和密码（设置默认用户名：admin和密码：admin123）

admin:$apr1$8.nTvE4f$UirPOK.PQqqfghwANLY47.

如果您仍然遇到任何问题，请告诉我。

您为什么不按预期的方式使用基本身份验证？

user:password@domain.com/callbacks/etc