Ввівши ідентифікатор та пароль, для введення .htpasswd буде створено ідентифікаційний та хешований пароль.
Що таке файл htpasswd?
Він використовується для захисту файлів, папок або цілих веб-сайтів за допомогою аутентифікації користувача HTTP, який називається BASIC аутентифікацією, і реалізується на основі правил, описаних у файлі .htaccess.
Інформація про користувача пишеться в одному рядку на кожного користувача, а кожен рядок містить ім'я користувача та пароль, розділені двокрапкою (:). Імена користувачів зберігаються у простому тексті, але паролі зберігаються у хешованій формі.
Ви можете дати файлу паролів будь-яке ім’я, але Apache використовує .htpasswd за замовчуванням, а крапки файлів (файли, що починаються з ''. ''), Як правило, є прихованими файлами, тому рекомендується використовувати '.htpasswd' як ім'я файлу.
Алгоритм хешу
- md5 (APR) $ apr1 $ префікс
Хеш-функція, яка генерує 128-бітове значення.
Це за замовчуванням у версії 2.2.18 та пізнішої версії, але вона була недостатньо безпечною протягом останніх років.
Сумісність: Apache всіх версій, Nginx 1.0.3 або вище - crypt () або crypt (3) без префіксу
До версії 2.2.17 Apache був алгоритмом за замовчуванням, але він вважається небезпечним, оскільки паролі обмежені 8 символами.
Сумісність: Apache, Nginx всі версії - SHA-1 {SHA}
Хеш-функція, яка генерує 160-бітове значення.
Незважаючи на те, що він прийнятий багатьма програмами та протоколами, останнім стандартам він не є безпечним.
Сумісність: Усі версії Apache, Nginx 1.3.13 або новіші - bcrypt $ 2y $ або $ 2a $ префікс
Хеш-функція, яку останніми роками вважають відносно безпечною, використовуючи алгоритм шифрування мухомор.
На обчислення потрібно багато часу, що є однією з причин, чому це безпечно.
Параметр встановлює час обчислення. (Більша кількість є складнішою та безпечнішою, але генерується повільніше)
* Будьте обережні, щоб не встановити значення 10 або більше, оскільки це буде дуже важко.
Сумісність: Apache 2.4 або новішої версії (потрібна apr-util 1.5 або вище)