Autenticación

Configuración de Apache:

   <Directory /directorio/que/proteger>

       AllowOverride AuthConfig

           Order allow,deny

           Allow from all

...

   </Directory>

Con esto le indicamos a Apache que /directorio/que/proteger tiene su propia configuración de validación.

Crear fichero .htaccess:

En el fichero .htaccess , ubicado en el directorio que queremos proteger pondremos:

AuthName "Directorio restringido"

AuthUserFile /var/claves/ficheroclaves

AuthType Basic

require valid-user

Crear fichero de contraseñas:

htpasswd -c /var/claves/ficheroclaves usuario

para crear el fichero y el primer usuario. En las sucesivas ejecuciones de esta orden para añadir nuevos usuario omitiremos la opción -c puesto que sólo sirve para crear el fichero. Es conveniente, por motivos de seguridad, que este fichero se encuentre fuera del árbol web.

Enviar nombre y contraseña a una página

Para enviar un nombre de contraseña a una página lo podemos hacer como norma general de la siguiente forma:

http://usuario:contraseña@página.mi.dom

es decir, precediendo a la dirección de la página con usuario:contraseña@. Generalizando a PHP:

http://$usuario:$contraseña@página.mi.dom

Pero siempre teniendo en cuenta que cualquiera podría verlo.  Este sistema se utiliza en la dirección de algunas páginas web de broma para dar a entender que nos conectamos a un sitio que realmente no lo es: http://www.usuario.dom@página.mi.dom, con lo cual a primera vista da la impresión que es la dirección de www.usuario.dom cuando en realidad este es el nombre de usuario y la página real está en página.mi.dom.

Si lo que queremos es que se evite la ventana de validación del navegador, lo que podríamos poner es:

header ("location: http://$usuario:$contraseña@página.mi.dom");

Esto, en general no es aconsejable por su falta de seguridad. Como norma general este sistema tampoco es útil para forzar un cambio del  usuario.