Если на сайте есть сеанс php для обеспечения аутентификации / авторизации на страницах сайта, которые реализованы в php, как одна и та же логика обеспечивает доступ к определенным файлам.
Допустим, репозиторий файлов в каталоге. Таким образом, / var / www / html / защищен аутентификацией, эта логика проверки подлинности PHP не запретит пользователю просто перейти на http://site.com/someDirectory/fileIShouldNotAccess.txt и вытащить этот файл.
Как вы связываете сеанс php и аутентификацию с apache для обеспечения такого поведения?
Поскольку PHP не будет вызываться, когда пользователь запрашивает не-PHP-файл, вы не можете использовать Apache для защиты доступа PHP. Вы можете сделать очень грубую и легко подделанную проверку в Apache, чтобы убедиться, что cookie идентификатора сеанса присутствует, но это очень небезопасно. Он просто проверяет, существует ли файл cookie, а не то, что он представляет действительный сеанс или что пользователю действительно предоставлен доступ.
Этот другой ответ может помочь. Использование PHP / Apache для ограничения доступа к статическим файлам (html, css, img и т . Д.) . В основном, вы обслуживаете весь защищенный контент с помощью PHP-скрипта вместо прямого доступа.
Пара отвечает:
1) чтобы ваши php-сессии использовали HTTP-аутентификацию. Затем вы можете использовать файл .htaccess для управления доступом к файлам в каталогах
2) Используйте mod_rewrite для перенаправления всех запросов на «передний контроллер». Пусть фронт-контроллер управляет тем, разрешен ли доступ, запрещен или переадресован другому модулю контроллера для дальнейшей обработки.
Вы можете попробовать HTTP-аутентификацию с помощью PHP. Эта статья может помочь.