我有一个静态网站。
我想用最简单的方法来保护目录,使用基本的管理界面来添加/删除用户。我的用户很少,我不关心性能。
我不在乎它是PHP还是Django等等,我只想要一个完整的软件包。
Apache基本身份验证不好,因为你无法注销。也没有用于添加用户的UI。
我尝试将所有内容抛弃在Django auth后面并通过Django提供文件。但是,Chrome将我的所有text / css标题视为text / plain,因此我没有显示任何样式表。
我无法在服务器上使用mod_xsendfile,因为我无法重新配置Apache以添加新模块。我认为这种方法无论如何都是过度的。
是否存在使用静态网站的基本管理员实现身份验证的代码包?
答案 0 :(得分:6)
我使用nginx,这通常是我的解决方案。也许类似的东西可用于Apache。不知道。
在nginx中,代理可以返回带有标头X-Accel-Redirect的响应,其中包含nginx重定向的位置。例如,使用以下nginx配置:
server {
...
location / {
proxy_pass: ...;
}
location /media/secure/ {
internal;
alias ...;
}
}
如果代理通行证将返回:
X-Accel-Redirect: /media/secure/somefile;
然后nginx会将请求从代理重定向到/media/secure/位置,从而提供静态文件。
所以我通常在Django中对用户进行身份验证,然后将该头部的位置返回到nginx所服务的文件。这很好,因为Django不必提供静态文件,用户不能只访问该安全位置(因为internal指令),并且因为如果在nginx中配置了所有mime类型,那么所有文件服务得当......
同样,这是针对nginx的,而不是针对Apache的,但对于Apache来说可能有类似的东西。
修改
这是一个简单的Django代码片段,假设您使用与上面相同的设置用于nginx。如果其路径在GET中提供,则此视图提供安全文件:
@login_required()
def serve_secure_static(request, file_root=os.path.join(settings.MEDIA_ROOT, 'secure')):
if not request.method == 'GET':
return HttpResponseBadRequest('Only GET allowed')
if not 'file' in request.GET:
return HttpResponseBadRequest('File query must be provided')
# make sire loggen user is allowed to see the file
# maybe check some custom permission
file_path = request.GET['file']
# if in DEBUG, make Django serve static file
# because nginx might not be configured
if settings.DEBUG:
abs_file_path = os.path.join(file_root, file_path)
file_data = open(abs_file_path, 'rb').read()
return HttpResponse(file_data, mimetype=mimetypes.guess_type(file_path))
# else make nginx serve static file
else:
redirect_url = '/%s' % file_path
response = HttpResponse()
response['X-Accel-Redirect'] = redirect_url
return response
那么如果你将这个视图添加到urlconfig:
url(r'^serve_secure_static/$', 'server_secure_static')
您可以通过以下方式申请安全文件:
http://domain.com/serve_secure_static/?file=path/to/file/here/relative/to/media/secure.css
将从
提供文件/media/secure/path/to/file/here/relative/to/media/secure.css