WK – .htaccess Passwortschutz

Mit .htaccess kan der Zugriff auf Ordner bzw. Websiten relativ sicher beschränkt werden. Die notwendigen Dateien sind schnell und einfach erstellt. Ich empfehle diesen Schutz für den beschriebenen Webmailer.

Voraussetzung für einen Passwortschutz mit .htaccess ist ein Webspace, der die Verwendung von .htaccess erlaubt. Bei den meisten kostenpflichtigen Anbietern ist das jedoch der Fall.
Um einen Ordner auf dem Webspace mit einem passwortgeschützten Zugriff zu versorgen, müssen zwei Dateien angelegt werden und in den Ordner kopiert werden, der geschützt werden soll.

1. Dateiname (auf den Punkt vor dem Namen achten): .htaccess
2. Dateiname (auf den Punkt vor dem Namen achten): .htpasswd

Inhaltlich sehen diese beiden Dateien so aus, wobei man mit .htaccess natürlich noch mehr machen kann und dies hier nur ein Beispiel ist:

1. .htaccess

   
   # Kommentar
   AuthUserFile /www/htdocs/12345/ordner/Adresse zur Passwortdatei/.htpasswd
   AuthGroupFile /www/htdocs/12345/ordner/Adresse zur Passwortdatei/.htgroups
   AuthName "Password Protected Area"
   AuthType Basic
   require user Frank Peter Heinz
   require group Admin User
   
   <limit GET POST>
   require valid-user
   </limit>
   

   • Mit Raute # lassen sich Kommentare in der Datei hinterlegen.
   • AuthUserFile gibt den Verweis zum Passwort-File an. Hier muss der absolute Pfad vom Server angegeben werden. Mit einer URL ist hier nichts zu erreichen. Den absoluten Pfad kann man mit Hilfe von php recht einfach heraus bekommen:

     
     <?php echo $_SERVER['DOCUMENT_ROOT']; ?>
     

     Tragt diese Zeile in eine php-Datei und ladet sie in den entsprechenden Ordner auf dem gewünschten Webspace. In der Ausgabe der Seite steht dann die absolute Adresse.

   • AuthGroupFile ist nicht nötig, kann aber verwendet werden, wenn viele Usergruppen auf den geschützten Webspace zugreifen sollen und man nicht jeden einzelnen User einarbeiten will.
   • AuthName beinhaltet den Text, der dann im Eingabefenster erscheint. Hier bietet sich eine Beschreibung an, die den geschützten Bereich näher erläutert.
   • AuthType sollte unverändert bleiben und beschreibt die Authentifizierung, das Ident, der Passwortdatei.
   • Mit require user werden die User bestimmt, die einen Zugang haben. Diese Zeile ist nicht unbedingt notwendig. Die Usernamen und die zugehörigen Passwörter stehen in der .htpasswd.
   • Bei der Verwendung von Usergruppen und AuthGroupFile (.htgroups) ist

     require user notwendig und enthält die berechtigten User.

   • <limit GET POST> ist die Zugriffsberechtigung. In diesem Fall wird nur Post für zugelassene User erlaubt. Dies kann erweitert werden, beispielsweise für GET oder DELETE.
2. .htpasswd

   
   Benutzername:Passwort(codiert)
   

In der Passwortdatei stehen die Usernamen und ihre zugehörigen Passwörter, welches verschlüsselt ist. Der Doppelpunkt fungiert als Trennungszeichen. Alle User werden untereinander geschrieben. Die verschlüsselten Passwörter lassen sich mit Hilfe von Online-Tools sehr schnell erstellen.

Online-Tools und weiterführende Links:

• Passwortgenerator - http://www.xs4all.nl/~remcovz/htpasswd.html
• .htaccess Generator - http://www.webmaster-toolkit.com/htaccess-generator.shtml
• Alle Direktive der Apache-config - http://httpd.apache.org/docs/1.3/mod/directives.html
• Mehr zu Usergruppenverwaltung mit AuthGroupFile - http://buecher.lingoworld.de/apache2/showdir.php?id=466&o=date
• .htaccess Cheat Sheet - http://www.thejackol.com/htaccess-cheatsheet/
• Noch mehr Möglichkeiten mit .htaccess - http://www.jacomet.ch/topweb/htaccess.htm
• Doku selfhtml - http://de.selfhtml.org/servercgi/server/htaccess.htm