Тогда авторизоваться смогут только перечисленные пользователи.

Информация о принадлежности пользователя к той или иной группе используется только директивой Require и недоступна ни клиенту, ни даже приложениям, работающим на сервере.

Взаимодействие авторизации и других механизмов ограничения доступа

Вы видите, что digest-аппарат предлагает очень гибкую систему настройки с зонами и группами пользователей. Но механизм авторизации – не единственное средство ограничения доступа. Давайте, не уходя далеко от темы статьи, рассмотрим, как механизм авторизации взаимодействует с другими средствами.

Для примера в качестве конкурента авторизации рассмотрим ограничение, позволяющее обращаться к ресурсу только с определённого хоста. Это ограничение реализуется следующими конфигурационными директивами:

Order Deny,Allow

Deny from all

Allow from 192.168.1.104

Что будет, если в одном .htaccess разместить и эти три строки, и четыре директивы, требующие авторизации? Чтобы разрешить этот вопрос, существует инструкция Satisfy, допускающая два значения единственного аргумента – Any или All.

Если в этот же файл .htaccess добавить:

Satisfy All

то для доступа к документам потребуется выполнение обоих условий: клиент должен обратиться к серверу с указанного хоста и предъявить надлежащую идентификационную информацию.

Если заменить All на Any, то для доступа потребуется выполнение хотя бы одного из требований. То есть если пользователь «пришёл» с указанного адреса, то авторизация ему не потребуется, а если он пришёл с любого другого хоста, то ему достаточно просто авторизоваться.

Любой из этих вариантов может оказаться полезен, в зависимости от конкретной задачи.

Иллюзии и реальность: digest vs basic

Теперь, когда мы познакомились с устройством и возможностями digest-аппарата, можно обсудить его преимущества и недостатки. Подытожим сначала, какие проблемы basic-авторизации так и остались не решены.

Во-первых, при digest-авторизации не создаётся сессии. На первый взгляд идентификатором сессии может показаться параметр nonce, передаваемый при каждом обращении к серверу в заголовке Authorization, но это впечатление обманчиво. Nonce позволяет не передавать пароль в открытом виде, и только. Сервер не запоминает все выданные nonce и не следит за ними.

Прямым следствием этого становится невозможность разорвать сессию – «разлогиниться».