# Apache模塊 mod_authz_host
| [說明](#calibre_link-11) | 提供基于主機名、IP地址、請求特征的訪問控制 |
| --- | --- |
| [狀態](#calibre_link-12) | 基本(B) |
| [模塊名](#calibre_link-13) | authz_host_module |
| [源文件](#calibre_link-14) | mod_authz_host.c |
| [兼容性](#calibre_link-58) | 僅在 Apache 2.1 及以后的版本中可用 |
### 概述
`mod_authz_host`提供的指令用在`<Directory>`, `<Files>`, `<Location>`段中,也用于`.htaccess`文件中控制對服務器特定部分的訪問。只要能在[環境變量](#calibre_link-232)中捕獲到主機名、IP地址或其他的客戶端請求特征,就可以基于這些特征對訪問進行控制。`Allow`和`Deny`指令用于指出允許哪些客戶及不允許哪些客戶訪問服務器,而`Order`指令設置默認的訪問狀態并配置`Allow`和`Deny`指令怎樣相互作用。
基于主機的訪問控制和基于口令的身份驗證兩套機制可以同時實現。在這種情況下,`Satisfy`指令用來決定兩套機制如何相互作用。
一般來說,訪問控制指令適用于所有的訪問方法(`GET`, `PUT`, `POST`等)。在多數情況下這是一個被期望的特性。但是,只限制某些方法而對其他方法不加限制也是可能的:通過把指令放到一個`<Limit>`段中即可。
## Allow 指令
| [說明](#calibre_link-18) | 控制哪些主機能夠訪問服務器的該區域 |
| --- | --- |
| [語法](#calibre_link-19) | `Allow from all|host|env=env-variable [host|env=env-variable] ...` |
| [作用域](#calibre_link-20) | directory, .htaccess |
| [覆蓋項](#calibre_link-66) | Limit |
| [狀態](#calibre_link-21) | 基本(B) |
| [模塊](#calibre_link-22) | mod_authz_host |
`Allow`指令控制哪些主機可以訪問服務器的該區域。可以根據主機名、IP地址、 IP地址范圍或其他環境變量中捕獲的客戶端請求特性進行控制。
這個指令的第一個參數總是"`from`",隨后的參數可以有三種不同形式:如果指定"`Allow from all`",則允許所有主機訪問,按照下述`Deny`和`Order`指令的配置。若要只允許特定的主機或主機群訪問服務器,_host_可以用下面任何一種格式來指定:
一個(部分)域名
### 示例:
```
Allow from apache.org
Allow from .net example.edu
```
主機名與給定字符串匹配或者以給定字符串結尾的主機允許訪問。只有完整的名字組成部分才被匹配,因此上述例子將匹配`foo.apache.org`但不能匹配`fooapache.org` 。這樣的配置將導致Apache不管`HostnameLookups`指令是如何設置的,對一個對客戶IP地址都要執行兩次DNS查詢:一次正查詢保證IP沒有偽造,一次反查詢保證主機名沒有偽造。只有兩次查詢的結果都吻合,并且主機名能夠被匹配,訪問才被允許。
完整的IP地址
### 示例:
```
Allow from 10.1.2.3
Allow from 192.168.1.104 192.168.1.205
```
允許擁有這些IP地址的主機進行訪問。
部分IP地址
### 示例:
```
Allow from 10.1
Allow from 10 172.20 192.168.2
```
IP地址的開始1到3個字節,用于子網限制。
網絡/掩碼對
### 示例:
```
Allow from 10.1.0.0/255.255.0.0
```
一個網絡"a.b.c.d"和一個掩碼"w.x.y.z",用于更精確的子網限制。
網絡/nnn無類別域間路由規格(CIDR specification)
### 示例:
```
Allow from 10.1.0.0/16
```
同前一種情況相似,除了掩碼由nnn個高位字節構成。
注意以上例子中的后三個匹配完全相同的一組主機。
IPv6地址和IPv6子網可以像下面這樣指定:
```
Allow from 2001:db8::a00:20ff:fea7:ccea
Allow from 2001:db8::a00:20ff:fea7:ccea/10
```
`Allow`指令的第三種參數格式允許對服務器的訪問由[環境變量](#calibre_link-232)的一個擴展指定。指定"`Allow from env=env-variable`"時,如果環境變量env-variable存在則訪問被允許。使用由`mod_setenvif`提供的指令,服務器用一種基于客戶端請求的彈性方式提供了設置環境變量的能力。因此,這條指令可以用于允許基于像`User-Agent`(瀏覽器類型)、`Referer`或其他HTTP請求頭字段的訪問。
### 示例:
```
SetEnvIf User-Agent ^KnockKnock/2\.0 let_me_in
<Directory /docroot>
Order Deny,Allow
Deny from all
Allow from env=let_me_in
</Directory>
```
這種情況下,發送以`KnockKnock/2.0`開頭的用戶代理標示的瀏覽器將被允許訪問,而所有其他瀏覽器將被禁止訪問。
## Deny 指令
| [說明](#calibre_link-18) | 控制哪些主機被禁止訪問服務器 |
| --- | --- |
| [語法](#calibre_link-19) | `Deny from all|host|env=env-variable [host|env=env-variable] ...` |
| [作用域](#calibre_link-20) | directory, .htaccess |
| [覆蓋項](#calibre_link-66) | Limit |
| [狀態](#calibre_link-21) | 基本(B) |
| [模塊](#calibre_link-22) | mod_authz_host |
這條指令允許基于主機名、IP地址或者環境變量限制對服務器的訪問。`Deny`指令的參數設置和`Allow`指令完全相同。
## Order 指令
| [說明](#calibre_link-18) | 控制默認的訪問狀態與`Allow`和`Deny`指令生效的順序 |
| --- | --- |
| [語法](#calibre_link-19) | `Order ordering` |
| [默認值](#calibre_link-24) | `Order Deny,Allow` |
| [作用域](#calibre_link-20) | directory, .htaccess |
| [覆蓋項](#calibre_link-66) | Limit |
| [狀態](#calibre_link-21) | 基本(B) |
| [模塊](#calibre_link-22) | mod_authz_host |
`Order`指令控制默認的訪問狀態與`Allow`和`Deny`指令生效的順序。Ordering取值范圍是以下幾種范例之一:
`Deny,Allow`
`Deny`指令在`Allow`指令之前被評估。**默認允許所有訪問**。任何不匹配`Deny`指令或者匹配`Allow`指令的客戶都被允許訪問。
`Allow,Deny`
`Allow`指令在`Deny`指令之前被評估。**默認拒絕所有訪問**。任何不匹配`Allow`指令或者匹配`Deny`指令的客戶都將被禁止訪問。
`Mutual-failure`
只有出現在`Allow`列表并且不出現在`Deny`列表中的主機才被允許訪問。這種順序與"`Order Allow,Deny`"具有同樣效果,不贊成使用。
關鍵字只能用逗號分隔;它們之間**不能有空格**。注意在所有情況下每個`Allow`和`Deny`指令語句都將被評估。
在下面的例子中,apache.org域中所有主機都允許訪問,而其他任何主機的訪問都將被拒絕。
```
Order Deny,Allow
Deny from all
Allow from apache.org
```
下面例子中,apache.org域中所有主機,除了foo.apache.org子域包含的主機被拒絕以外,其他都允許訪問。而所有不在apache.org域中的主機都不允許訪問,因為默認狀態是拒絕對服務器的訪問。
```
Order Allow,Deny
Allow from apache.org
Deny from foo.apache.org
```
另一方面,如果上個例子中的`Order`指令改變為"`Deny,Allow`",將允許所有主機的訪問。這是因為,不管配置文件中指令的實際順序如何,"`Allow from apache.org`"指令會最后被評估到并覆蓋之前的"`Deny from foo.apache.org`"。所有不在`apache.org`域中的主機也允許訪問是因為默認狀態被改變到了_允許_。
即使沒有伴隨`Allow`和`Deny`指令,一個`Order`指令的存在也會影響到服務器上某一個部分的訪問,這是由于它對默認訪問狀態的影響。例如:
```
<Directory /www>
Order Allow,Deny
</Directory>
```
這樣將會禁止所有對`/www`目錄的訪問,因為默認狀態將被設置為_拒絕_。
`Order`指令只在服務器配置的每個段內部控制訪問指令的處理。這暗示著,例如,一個在`<Location>`段中出現的`Allow`或`Deny`指令總是將會在一個`<Directory>`段或者`.htaccess`文件中出現的`Allow`或`Deny`指令之后被評估,而不管`Order`指令如何設置。要了解配置段落合并的詳細信息,參見[配置段](#calibre_link-256)文檔。
- Apache HTTP Server Version 2.2 文檔 [最后更新:2006年3月21日]
- 版本說明
- 從1.3升級到2.0
- 從2.0升級到2.2
- Apache 2.2 新特性概述
- Apache 2.0 新特性概述
- The Apache License, Version 2.0
- 參考手冊
- 編譯與安裝
- 啟動Apache
- 停止和重啟
- 配置文件
- 配置段(容器)
- 緩沖指南
- 服務器全局配置
- 日志文件
- 從URL到文件系統的映射
- 安全方面的提示
- 動態共享對象(DSO)支持
- 內容協商
- 自定義錯誤響應
- 地址和端口的綁定(Binding)
- 多路處理模塊
- Apache的環境變量
- Apache處理器的使用
- 過濾器(Filter)
- suEXEC支持
- 性能方面的提示
- URL重寫指南
- Apache虛擬主機文檔
- 基于主機名的虛擬主機
- 基于IP地址的虛擬主機
- 大批量虛擬主機的動態配置
- 虛擬主機示例
- 深入研究虛擬主機的匹配
- 文件描述符限制
- 關于DNS和Apache
- 常見問題
- 經常問到的問題
- Apache的SSL/TLS加密
- SSL/TLS高強度加密:緒論
- SSL/TLS高強度加密:兼容性
- SSL/TLS高強度加密:如何...?
- SSL/TLS Strong Encryption: FAQ
- 如何.../指南
- 認證、授權、訪問控制
- CGI動態頁面
- 服務器端包含入門
- .htaccess文件
- 用戶網站目錄
- 針對特定平臺的說明
- 在Microsoft Windows中使用Apache
- 在Microsoft Windows上編譯Apache
- Using Apache With Novell NetWare
- Running a High-Performance Web Server on HPUX
- The Apache EBCDIC Port
- 服務器和支持程序
- httpd - Apache超文本傳輸協議服務器
- ab - Apache HTTP服務器性能測試工具
- apachectl - Apache HTTP服務器控制接口
- apxs - Apache 擴展工具
- configure - 配置源代碼樹
- dbmmanage - 管理DBM格式的用戶認證文件
- htcacheclean - 清理磁盤緩沖區
- htdbm - 操作DBM密碼數據庫
- htdigest - 管理用于摘要認證的用戶文件
- httxt2dbm - 生成RewriteMap指令使用的dbm文件
- htpasswd - 管理用于基本認證的用戶文件
- logresolve - 解析Apache日志中的IP地址為主機名
- rotatelogs - 滾動Apache日志的管道日志程序
- suexec - 在執行外部程序之前切換用戶
- 其他程序
- 雜項文檔
- 與Apache相關的標準
- Apache模塊
- 描述模塊的術語
- 描述指令的術語
- Apache核心(Core)特性
- Apache MPM 公共指令
- Apache MPM beos
- Apache MPM event
- Apache MPM netware
- Apache MPM os2
- Apache MPM prefork
- Apache MPM winnt
- Apache MPM worker
- Apache模塊 mod_actions
- Apache模塊 mod_alias
- Apache模塊 mod_asis
- Apache模塊 mod_auth_basic
- Apache模塊 mod_auth_digest
- Apache模塊 mod_authn_alias
- Apache模塊 mod_authn_anon
- Apache模塊 mod_authn_dbd
- Apache模塊 mod_authn_dbm
- Apache模塊 mod_authn_default
- Apache模塊 mod_authn_file
- Apache模塊 mod_authnz_ldap
- Apache模塊 mod_authz_dbm
- Apache模塊 mod_authz_default
- Apache模塊 mod_authz_groupfile
- Apache模塊 mod_authz_host
- Apache模塊 mod_authz_owner
- Apache模塊 mod_authz_user
- Apache模塊 mod_autoindex
- Apache模塊 mod_cache
- Apache模塊 mod_cern_meta
- Apache模塊 mod_cgi
- Apache模塊 mod_cgid
- Apache模塊 mod_charset_lite
- Apache模塊 mod_dav
- Apache模塊 mod_dav_fs
- Apache模塊 mod_dav_lock
- Apache模塊 mod_dbd
- Apache模塊 mod_deflate
- Apache模塊 mod_dir
- Apache模塊 mod_disk_cache
- Apache模塊 mod_dumpio
- Apache模塊 mod_echo
- Apache模塊 mod_env
- Apache模塊 mod_example
- Apache模塊 mod_expires
- Apache模塊 mod_ext_filter
- Apache模塊 mod_file_cache
- Apache模塊 mod_filter
- Apache模塊 mod_headers
- Apache模塊 mod_ident
- Apache模塊 mod_imagemap
- Apache模塊 mod_include
- Apache模塊 mod_info
- Apache模塊 mod_isapi
- Apache模塊 mod_ldap
- Apache模塊 mod_log_config
- Apache模塊 mod_log_forensic
- Apache模塊 mod_logio
- Apache模塊 mod_mem_cache
- Apache模塊 mod_mime
- Apache模塊 mod_mime_magic
- Apache模塊 mod_negotiation
- Apache模塊 mod_nw_ssl
- Apache模塊 mod_proxy
- Apache模塊 mod_proxy_ajp
- Apache模塊 mod_proxy_balancer
- Apache模塊 mod_proxy_connect
- Apache模塊 mod_proxy_ftp
- Apache模塊 mod_proxy_http
- Apache模塊 mod_rewrite
- Apache模塊 mod_setenvif
- Apache模塊 mod_so
- Apache模塊 mod_speling
- Apache模塊 mod_ssl
- Apache模塊 mod_status
- Apache模塊 mod_suexec
- Apache模塊 mod_unique_id
- Apache模塊 mod_userdir
- Apache模塊 mod_usertrack
- Apache模塊 mod_version
- Apache模塊 mod_vhost_alias
- Developer Documentation for Apache 2.0
- Apache 1.3 API notes
- Debugging Memory Allocation in APR
- Documenting Apache 2.0
- Apache 2.0 Hook Functions
- Converting Modules from Apache 1.3 to Apache 2.0
- Request Processing in Apache 2.0
- How filters work in Apache 2.0
- Apache 2.0 Thread Safety Issues
- 詞匯和索引
- 詞匯表
- 指令索引
- 指令速查
- 模塊索引
- 站點導航