.htaccess文件
.htaccess
文件提供了针对每个目录改变配置的方法。
工作原理和使用方法
.htaccess
文件(或者"分布式配置文件")提供了针对每个目录改变配置的方法,即在一个特定的目录中放置一个包含指令的文件,其中的指令作用于此目录及其所有子目录。
说明:
如果需要使用.htaccess
以外的其他文件名,可以用AccessFileName
指令来改变。例如,需要使用.config
,则可以在服务器配置文件中按以下方法配置:
AccessFileName .config
通常,.htaccess
文件使用的配置语法和主配置文件一样。AllowOverride
指令按类别决定了.htaccess
文件中哪些指令才是有效的。如果一个指令允许在.htaccess
中使用,那么在本手册的说明中,此指令会有一个覆盖项段,其中说明了为使此指令生效而必须在AllowOverride
指令中设置的值。
例如,本手册对AddDefaultCharset
指令的阐述表明此指令可以用于.htaccess
文件中(见"作用域"项),而覆盖项一行是FileInfo
,那么为了使.htaccess
中的此指令有效,则至少要设置 AllowOverride FileInfo
。
如果不能确定某个指令是否可以用于.htaccess
文件,可以查阅手册中对指令的说明,看在"作用域"行中是否有".htaccess" 。
<Directory>段中,而且更高效。
避免使用.htaccess
文件有两个主要原因。
首先是性能。如果AllowOverride
启用了.htaccess
文件,则Apache需要在每个目录中查找.htaccess
文件,因此,无论是否真正用到,启用.htaccess
都会导致性能的下降。另外,对每一个请求,都需要读取一次.htaccess
文件。
还有,Apache必须在所有上级的目录中查找.htaccess
文件,以使所有有效的指令都起作用(参见指令的生效),所以,如果请求/www/htdocs/example
中的页面,Apache必须查找以下文件:
/.htaccess
/www/.htaccess
/www/htdocs/.htaccess
/www/htdocs/example/.htaccess
总共要访问4个额外的文件,即使这些文件都不存在。(注意,这可能仅仅由于允许根目录"/
"使用.htaccess
,虽然这种情况并不多。)
其次是安全。这样会允许用户自己修改服务器的配置,这可能会导致某些意想不到的修改,所以请认真考虑是否应当给予用户这样的特权。但是,如果给予用户较少的特权而不能满足其需要,则会带来额外的技术支持请求,所以,必须明确地告诉用户已经给予他们的权限,说明AllowOverride
设置的值,并引导他们参阅相应的说明,以免日后生出许多麻烦。
注意,在/www/htdocs/example
目录下的.htaccess
文件中放置指令,与在主配置文件中<Directory /www/htdocs/example>
段中放置相同指令,是完全等效的。
/www/htdocs/example
目录下的.htaccess
文件:
/www/htdocs/example
目录下的.htaccess文件的内容:
AddType text/example .exm
httpd.conf
文件中摘录的内容:
<Directory /www/htdocs/example>
AddType text/example .exm
</Directory>
但是,把配置放在主配置文件中更加高效,因为只需要在Apache启动时读取一次,而不是在每次文件被请求时都读取。
将AllowOverride
设置为none
可以完全禁止使用.htaccess
文件:
AllowOverride None
指令的生效
.htaccess
文件中的配置指令作用于.htaccess
文件所在的目录及其所有子目录,但是很重要的、需要注意的是,其上级目录也可能会有.htaccess
文件,而指令是按查找顺序依次生效的,所以一个特定目录下的.htaccess
文件中的指令可能会覆盖其上级目录中的.htaccess
文件中的指令,即子目录中的指令会覆盖父目录或者主配置文件中的指令。
例子:
/www/htdocs/example1
目录中的.htaccess
文件有如下内容:
Options +ExecCGI
(注意:必须设置"AllowOverride Options
"以允许在.htaccess
中使用"Options
"指令)
/www/htdocs/example1/example2
目录中的.htaccess
文件有如下内容:
Options Includes
由于第二个.htaccess
文件的存在,/www/htdocs/example1/example2
中的CGI执行是不允许的,而只允许 Options Includes
,它完全覆盖了之前的设置。
配置段(容器)中讨论的那样,.htaccess
文件能够覆盖<Directory>
段中对相应目录的设置,但是也同样会被主配置文件中其它类型的配置段所覆盖。这个特性可以用来强制实施某些配置,甚至在AllowOverride
已经许可的情况下。举个例子来说,为了强迫在.htaccess
中禁止脚本执行但不限制其它的情况下,可以这样:
<Directory />
Allowoverride All
</Directory>
<Location />
Options +IncludesNoExec -ExecCGI
</Location>
<Directory />
Allowoverride All
</Directory>
<Location />
Options +IncludesNoExec -ExecCGI
</Location>
认证举例
如果你只是为了知道如何认证,而直接从这里开始看的,有很重要的一点需要注意,有一种常见的误解,认为实现密码认证必须要使用.htaccess
文件,其实是不正确的。把认证指令放在主配置文件的<Directory>
段中是一个更好的方法,而.htaccess
文件应该仅仅用于无权访问主配置文件的时候。参见上述关于何时应该与何时不应该使用.htaccess
文件的讨论。
有此声明在先,如果你仍然需要使用.htaccess
文件,请继续看以下说明。
.htaccess
文件的内容:
AuthType Basic
AuthName "Password Required"
AuthUserFile /www/passwords/password.file
AuthGroupFile /www/passwords/group.file
Require Group admins
必须设置 AllowOverride AuthConfig
以允许这些指令生效。
更详细的说明,请参见认证、授权、访问控制。
疑难解答
如果在.htaccess
文件中的某些指令不起作用,可能有多种原因。
最常见的原因是AllowOverride
指令没有被正确设置,必须确保没有对此文件区域设置 AllowOverride None
。有一个很好的测试方法,就是在.htaccess
文件随便增加点无意义的垃圾内容,如果服务器没有返回了一个错误消息,那么几乎可以断定设置了 AllowOverride None
。
在访问文档时,如果收到服务器的出错消息,应该检查Apache的错误日志,可以知道.htaccess
文件中哪些指令是不允许使用的,也可能会发现需要纠正的语法错误。