11-2. PHPとMYSQLで作る会員管理システム②アクセス制限
今日は、管理画面へのアクセスを制限する方法を勉強します。
管理画面へのアクセス制限には、
webサーバーの機能を使ってIPアドレスで制限する方法と、
Apache(webサーバ)に搭載されているBasic認証で制限する方法、
IDとパスワードをプログラム内部に設定してアクセスを制限する方法の3通りの方法があります。
1-1. 特定のIPアドレスだけ許可する
IPアドレスの制限・許可の条件はApache(webサーバ)を設定するファイルに記述します。
ここではレンタルサーバで使用する頻度の高い「.htaccessファイル」に設定します。「htaccess」とは、多くのwebサーバーで使用されている「Apache」を制御する設定ファイルの1つです。
さいしょの行は、評価順を指定します。Denyは拒否、Allowは許可です。
2行目は、すべてのユーザーは拒否と記載し、
次に許可したいIPアドレスを入れます。
2-1. Basic認証を活用する
Apacheの持つBasic認証を利用すると、ユーザーIDとパスワードを知っているユーザーだけにページ閲覧を許可することができます。
Basic認証とは、httpプロトコルで定義された認証プロトコルを使用するもので、認証を必要とするURLアクセスがあると、「WWW-Authenticate:Basic realm="任意の文字列"」というレスポンスヘッダがwebサーバからwebブラウザへ送られます。
webブラウザは認証ダイアログを表示してユーザーがユーザーIDとパスワードを入力するまで待機状態となります。
なぞだ。。なぞ。
くそ、なんでだ