Apache kullanarak, bir klasöre HTTPS zorlamak:
SSLOptions +StrictRequire
SSLRequireSSL
SSLRequire %{HTTP_HOST} eq www.example.com
ErrorDocument 403 https://www.example.com/admin/
ve ben Apache AuthBasic kullanarak klasörü korumak:
AuthType Basic
AuthName Administration
AuthUserFile /path/to/my/.htpasswd
Require valid-user
Satisfy all
Bunun gibi, şifre her zaman HTTPS üzerinden gönderilir. Bu iyi çalışıyor, ama sonra tek bir URL için kimlik doğrulamayı devre dışı bırakmak için çalıştı:
SetEnvIf Request_URI crm/index\.php$ removeme_uri
Order deny,allow
Deny from all
Allow from env=removeme_uri
Satisfy any
Bu URL, kimlik doğrulama için istemez, ve diğerleri yok. Yani her şey yolunda ancak HTTPS artık gerekli değildir ve parolasının gönderilebilir!
Yanlış burada ne işim var?