- - PR -
apacheでのアクセス制御
1
| 投稿者 | 投稿内容 | ||||
|---|---|---|---|---|---|
|
投稿日時: 2003-09-16 16:44
いつもお世話になっています。
早速ですがご相談させてください。 サーバーが2台あり 一台を認証用サーバーAとして携帯端末の製造番号によって認証を行い、 もう一台をWEBサーバーBとして単なるHTMLファイルを配置します。 サーバーAで認証処理をすることを変更できない場合 認証用サーバーAを抜けてサーバーBにアクセスしにきているというのを apacheの設定ではじけるものでしょうか。 httpd.confで <Directory /home/foo> Order allow,deny Allow from all </Directory> という方法をみたのですが違う気がしますし。。 よろしくお願いいたします。 | ||||
|
投稿日時: 2003-09-16 17:12
Javaソリューションの話題かどうかは置いといて・・・。 ちょっと考えてみたのですが、Apacheではじく方法が思いあたらなかったので、 先に違う方法を提案しておきます。もし、apacheで禁止できる方法が提案されましたら 無視してください。 ・サーバーAで認証に成功した場合、サーバーAはセッションIDを発行。 ・そのセッションIDを付け足した、サーバーBへのリンクを端末に返す。 ・サーバーAはセッションIDと有効期限を認証専用DBテーブルへ書き出す。 ・サーバーBにアクセスがあった場合、セッションIDがGETされていることをチェックする。 ・セッションIDがあった場合、GETされた情報と認証専用DBと照合し、一致しない場合 または期限切れの場合はアクセスを禁止する。 | ||||
|
投稿日時: 2003-09-17 10:00
ご返答ありがとうございます。
.htaccessで特定のリンクからのアクセス以外拒否する設定が できるようでしたので、テストしたらうまくできました。 しかし、ここではrefererをとってきていて 今回i-mode端末のシステムを構築してようとしていまして i-mode端末だとrefererは対応していないらしく動作しませんでした。 やはりKen-Labさんのおっしゃるとおりコーディングをしないと 実現できないのでしょうか・・ | ||||
|
投稿日時: 2003-09-18 14:07
うーん、携帯の場合リファラが使えない、クッキーが使えないなどの制約があるため 簡単じゃないのでは?、と考えます。 仮に、サーバーBにおいてApacheで制限をかけようとするとページ遷移の時問題が 発生しそうですし、またチェックを緩くすると認証しなくてもアクセスできそうですし。 ここは手間がかかってしまうのは覚悟して正攻法で組んだほうが安全ではないでしょうか? | ||||
1
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。