logo标签列表

使用phpass加密密码的Apache mod-auth-mysql(WordPress)

wordpress.htaccessbasic-authenticationapache-modulesphpass
4
我需要在主WordPress站点之外的某些网页上进行密码保护。用户希望使用他们在WordPress中已经拥有的用户名和密码。
显然的解决方案似乎是使用基于MySQL的身份验证的Apache模块:mod-auth-mysql。
然而,这似乎是不可能的,因为WordPress使用Phpass密码加密,而mod-auth-mysql不支持它。 有没有办法绕过这个限制?
1个回答
9
您可以使用经过修补的 mod-auth-mysql 版本来接受 Phpass 加密密码。我将提供在 Ubuntu 和 Debian 中如何执行此操作的说明。 原始修补文件可在此处获取 在 Ubuntu/Debian 中修补 Mod-auth-mysql 以支持 Phpass
这些说明已在 Ubuntu 10.4、12.04 和14.04.5 上进行了测试,但应该能够在许多其他基于 Debian 的平台上进行最小的更改。
为构建修补后的 .deb 包创建一个工作目录。
mkdir mod-auth-mysql-phpass
cd mod-auth-mysql-phpass

获取构建软件包和软件包源代码所需的依赖项。

sudo apt-get build-dep mod-auth-mysql fakeroot
apt-get source mod-auth-mysql

前往新创建的源文件夹。

cd mod-auth-mysql-4.3.9

使用Debian工具创建合适的Debian格式补丁(.dpatch)。首先检查当前补丁列表。
cat debian/patches/00list

最后一个官方补丁将位于列表末尾。在下面的 dpatch-edit-patch 命令中,使用最后一个补丁的名称作为最后一个参数。并为新的 phpass 补丁选择一个比这个名称大一的数字。在我的情况下,列表中的最后一个补丁是 017-doc_persistent_conn.dpatch,因此 phpass 补丁的名称为 018-phpass。

dpatch-edit-patch patch 018-phpass 017-doc_persistent_conn.dpatch

dpatch-edit-patch会在一个特殊的文件夹中启动一个新的shell,它将用于构建自定义的Debian格式补丁。
下载原始补丁。
wget https://pelam.fi/published_sources/mod-auth-mysql-phpass/patch.diff

应用原始补丁并将其删除。

patch < patch.diff
rm patch.diff

告诉dpatch-edit-patch可以生成我们的自定义补丁。
exit

你会惊喜于你的新的 Debian 格式的补丁。如果你在意安全问题,你还应该检查一下这个非官方的补丁所做的更改 :)

cat debian/patches/018-phpass.dpatch

将新补丁添加到.deb软件包构建时要应用的补丁列表中。
echo 018-phpass.dpatch >> debian/patches/00list

构建修补程序包
dpkg-buildpackage -b -uc

现在,您可以安装自定义的 .deb 软件包(根据您的系统不同,软件包名称可能会有所不同)。
sudo dpkg --install ../libapache2-mod-auth-mysql_4.3.9-13.1ubuntu3_amd64.deb

使用Phpass配置Mod-auth-mysql以对WordPress进行身份验证

启用mod-auth-mysql:

sudo a2enmod auth_mysql

重新启动apache以使新模块生效:

sudo service apache2 restart

文档(现在包括Phpass)可以使用例如 less 命令查看。

zless /usr/share/doc/libapache2-mod-auth-mysql/DIRECTIVES.gz

这里是一个示例 .htaccess 文件,只允许 WordPress 管理员访问:

AuthType Basic
AuthName "Give Wordpress Administrator username and password"

Auth_MySQL_User YOUR_MYSQL_USER_HERE
Auth_MySQL_Password YOUR_MYSQL_PASSWORD_HERE
Auth_MySQL_Host YOUR_MYSQL_SERVER_HERE

AuthBasicAuthoritative Off
# I don't know a better way to disable the default password file authentication
AuthUserFile /dev/null
Auth_MySQL on
Auth_MySQL_DB YOUR_WORDPRESS_MYSQL_SCHEMA_NAME_HERE
Auth_MySQL_Password_Table wp_users
Auth_MySQL_Username_Field wp_users.user_login
Auth_MySQL_Password_Field wp_users.user_pass
Auth_MySQL_Encryption_Types PHPass PHP_MD5

Auth_MySQL_Group_Table "wp_users, wp_usermeta"
Auth_MySQL_Group_Clause "AND wp_users.ID = wp_usermeta.user_id AND wp_usermeta.meta_key='wp-capabilities' and m.meta_value like '%s:13:\"administrator\"%'"
Auth_MySQL_Persistent On
Auth_MySQL_Authoritative Off
Auth_MySQL_CharacterSet utf8

Require valid-user
Order allow,deny
Allow from all
首先,这太棒了。 补丁很好地工作并已编译。 我在代码中看不到任何恶意行为。 :) 但是,它似乎从未对PHPBB3数据库进行身份验证。 我在Ubuntu 12.04上运行3.09,使用MySQL和Apache2,但是日志中没有任何记录。 我无法调试,尝试的一切都似乎无法使其正常工作。 我的配置与上面的配置几乎相同,除了组相关的东西被省略了。 有任何想法吗? 这是否针对PHPBB3进行了测试? - mhradek
1
感谢mhradek指出,PHPBB3会转义密码中的HTML特殊字符,如此处所述http://stackoverflow.com/a/13240528/1148030。旧版本的补丁可在http://pelam.fi/published_sources/mod-auth-mysql-phpass/patch-pre-phpbb3-support.diff找到。上面答案中提到的补丁http://pelam.fi/published_sources/mod-auth-mysql-phpass/patch.diff已更新以处理检测到PHPBB3变体的转义。 - Peter Lamberg
网页内容由stack overflow 提供, 点击上面的
可以查看英文原文,
原文链接