Apache2.4 のRequireディレクティブでアクセス制御を行う

概要

Requireディレクティブや SetEnvIfディレクティブを使用して、様々な条件でアクセス制御を行う方法を記載する。

具体的には・・
SetEnvIf でリクエストヘッダフィールドやアクセス元のIPアドレス、アクセス先(URI)などの情報を元に環境変数を設定し、
Requireディレクティブで環境変数の定義有無によってアクセス制限をかける。

Requireディレクティブ

https://httpd.apache.org/docs/2.4/ja/mod/mod_authz_core.html#require

Apache2.4 では、Apache2.2 からアクセス制御の記述方法が大幅に変わっている。
例えば、特定のIPからのアクセスのみを許可する場合、Apache2.4では以下のように Requireディレクティブ を使用して記述する。

Apache2.2

Order deny,allow
deny from all
allow from XXX.XXX.XXX.XXX

Apache2.4

<RequireAny>
Require all denied
Require ip XXX.XXX.XXX.XXX
</RequireAny>


Require all granted全てのアクセスを許可。
Require all denied全てのアクセスを拒否。
Require [not] env env-var [env-var] ...指定した環境変数が定義されていれば(not指定時は環境変数が定義されていなければ)アクセスを許可。
但し、後述する RequireAny 内では、not は使用できない。
※「negative Require directive has no effect in <RequireAny> directive」と怒られる。
Require method http-method [http-method] ...HTTPメソッドが指定されたものである場合はアクセスを許可。
Require valid-user有効なユーザーの場合はアクセスを許可。(Basic認証等)
Require ip 10 172.20 192.168.2クライアントのIPアドレスが指定されたものである場合はアクセスを許可。

など。

RequireAny | RequireAll | RequireNone ディレクティブ

RequireAny、RequireAll、RequireNone の各ディレクティブを使用して複数条件の AND、OR を設定する事ができる。
また、RequireAny|All|None を省略した場合は RequireAny として動作する。

ディレクティブ名説明
RequireAnyいずれかの条件にマッチする場合はアクセスを許可する。
RequireAll全ての条件にマッチする場合のみアクセスを許可する
RequireNoneいずれかの条件にマッチする場合はアクセスを拒否する

SetEnvIfディレクティブ

https://httpd.apache.org/docs/2.4/ja/mod/mod_setenvif.html#SetEnvIf
リクエストの属性に基づいて環境変数を定義する。

構文
SetEnvIf attribute regex [!]env-variable[=value] [[!]env-variable[=value]] ...

・attribute には、リクエストヘッダフィールド や Remote_Host など規定されている項目名、環境変数などが指定できる。
・regex には正規表現を指定する。※attribute に指定したデータとこの正規表現でマッチングさせる。
・3つ目のフィールドにはマッチした場合に設定する環境変数名を指定する。
 環境変数名の前頭句に ! を指定した場合は、定義済みの環境変数を削除する。
 env-variable=value のように、環境変数に値を指定する事も出来る。(value未指定時は"1")

設定例

設定例の利用シーン

・多くのフォルダがあり、個別のフォルダに .htaccess を設定するのが難しい場合
・基本的には制限をかけたいが、特定のディレクトリ配下のみ制限をかけたくない場合
・サーバ処理でルーティングを行なっている為、各サブフォルダの実体が無くて.htaccess が設置出来ない場合

特定のURIのみBasic認証をかける 

AuthType Basic
AuthName "Please Input user name and password"
AuthUserFile /path_to_www/.htpasswd

SetEnvIf Request_URI "^/*" allow_page
SetEnvIf Request_URI "^/auth-dir/*" !allow_page

<RequireAny>
Require env allow_page
Require vaild-user
</RequireAny>

<Files ~ "^\.(htaccess|htpasswd)$">
Require all denied
</Files>

特定のURIのみBasic認証をかけない 

AuthType Basic
AuthName "Please Input user name and password"
AuthUserFile /path_to_www/.htpasswd

SetEnvIf Request_URI "^/noauth-dir/*" allow_page

<RequireAny>
Require env allow_page
Require vaild-user
</RequireAny>

<Files ~ "^\.(htaccess|htpasswd)$">
Require all denied
</Files>
トップ   差分 バックアップ リロード   一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2019-01-05 (土) 16:37:42 (1939d)