快捷導(dǎo)航

Apache中的Order Allow,Deny用法詳解

更新時(shí)間：2015年12月30日 11:25:44 作者：nd

這篇文章主要介紹了Apache中的Order Allow,Deny用法,結(jié)合實(shí)例較為詳細(xì)的分析了Apache中Order Allow,Deny的具體作用及使用技巧,具有一定參考借鑒價(jià)值,需要的朋友可以參考下

本文講述了Apache中的Order Allow,Deny用法。分享給大家供大家參考，具體如下：

Allow和Deny可以用于apache的conf文件或者.htaccess文件中（配合Directory, Location, Files等），用來控制目錄和文件的訪問授權(quán)。

所以，最常用的是：

Order Deny,Allow
Allow from All

注意“Deny,Allow”中間只有一個(gè)逗號(hào)，也只能有一個(gè)逗號(hào)，有空格都會(huì)出錯(cuò)；單詞的大小寫不限。上面設(shè)定的含義是先設(shè)定“先檢查禁止設(shè)定，沒有禁止的全部允許”，而第二句沒有Deny，也就是沒有禁止訪問的設(shè)定，直接就是允許所有訪問了。這個(gè)主要是用來確保或者覆蓋上級(jí)目錄的設(shè)置，開放所有內(nèi)容的訪問權(quán)。

按照上面的解釋，下面的設(shè)定是無條件禁止訪問：

Order Allow,Deny
Deny from All

如果要禁止部分內(nèi)容的訪問，其他的全部開放：

Order Deny,Allow
Deny from ip1 ip2

或者

Order Allow,Deny
Allow from all
Deny from ip1 ip2

apache會(huì)按照order決定最后使用哪一條規(guī)則，比如上面的第二種方式，雖然第二句allow允許了訪問，但由于在order中allow不是最后規(guī)則，因此還需要看有沒有deny規(guī)則，于是到了第三句，符合ip1和ip2的訪問就被禁止了。注意，order決定的“最后”規(guī)則非常重要，下面是兩個(gè)錯(cuò)誤的例子和改正方式：

Order Deny,Allow
Allow from all
Deny from domain.org

錯(cuò)誤：想禁止來自domain.org的訪問，但是deny不是最后規(guī)則，apache在處理到第二句allow的時(shí)候就已經(jīng)匹配成功，根本就不會(huì)去看第三句。

解決方法：Order Allow,Deny，后面兩句不動(dòng)，即可。

Order Allow,Deny
Allow from ip1
Deny from all

錯(cuò)誤：想只允許來自ip1的訪問，但是，雖然第二句中設(shè)定了allow規(guī)則，由于order中deny在后，所以會(huì)以第三句deny為準(zhǔn)，而第三句的范圍中又明顯包含了ip1（all include ip1），所以所有的訪問都被禁止了。

解決方法一：直接去掉第三句。

解決方法二：

Order Deny,Allow
Deny from all
Allow from ip1

下面是測試過的例子：

Order deny,allow
allow from all
deny from 219.204.253.8
#全部都可以通行

Order deny,allow
deny from 219.204.253.8
allow from all
#全部都可以通行

Order allow,deny
deny from 219.204.253.8
allow from all
#只有219.204.253.8不能通行

Order allow,deny
allow from all
deny from 219.204.253.8
#只有219.204.253.8不能通行

Order allow,deny
deny from all
allow from 219.204.253.8
#全部都不能通行

Order allow,deny
allow from 219.204.253.8
deny from all
#全部都不能通行

Order deny,allow
allow from 219.204.253.8
deny from all
#只允許219.204.253.8通行

Order deny,allow
deny from all
allow from 219.204.253.8
#只允許219.204.253.8通行

Order deny,allow
#全部都可以通行（默認(rèn)的）

Order allow,deny
#全部都不能通行（默認(rèn)的）

Order allow,deny
deny from all
#全部都不能通行

Order deny,allow
deny from all
#全部都不能通行

對(duì)于上面兩種情況，如果換成allow from all，則全部都可以通行！

Order deny,allow
deny from 219.204.253.8
#只有219.204.253.8不能通行

Order allow,deny
deny from 219.204.253.8
#全部都不能通行

Order allow,deny
allow from 219.204.253.8
#只允許219.204.253.8通行

Order deny,allow
allow from 219.204.253.8
#全部都可以通行

order deny,allow
allow from 218.20.253.2
deny from 218.20
#代表拒絕218.20開頭的IP，但允許218.20.253.2通過；而其它非218.20開頭的IP也都允許通過。

order allow,deny
allow from 218.20.253.2
deny from 218.20

#和上面的差不多，只是掉換的order語句中的allow、deny先后順序，但最終結(jié)果表示全部都拒絕！

前段時(shí)間做了個(gè)Apache的HTTP代理服務(wù)器，其中的order allow，deny這部分弄的不太懂，于是上網(wǎng)找資料看，誰知道越看越糊涂，其中有些難以分辨對(duì)錯(cuò)甚至是誤導(dǎo)。就像破解windows系統(tǒng)密碼的一些文章那樣，很多都是人云亦云的，并沒有經(jīng)過測試。廢話少說，先把我經(jīng)過測試后分析總結(jié)出來的結(jié)論show出來，相信這對(duì)大家的理解非常有幫助。

總則

影響最終判斷結(jié)果的只有兩點(diǎn)：

1. order語句中allow、deny的先后順序；

2. allow、deny語句中各自包含的范圍。

溫馨提醒

1. 修改完配置后要保存好并重啟Apache服務(wù)，配置才能生效；

2. 開頭字母不分大小寫；

3. allow、deny語句不分先后順序，誰先誰后不影響最終判斷結(jié)果；但都會(huì)被判斷到；

4. order語句中，“allow,deny”之間“有且只有”一個(gè)逗號(hào)（英文格式的），而且先后順序很重要；

5. Apache有一條缺省規(guī)則，“order allow,deny”本身就默認(rèn)了拒絕所有的意思，因?yàn)閐eny在allow的后面；同理，“order deny,allow”本身默認(rèn)的是允許所有；當(dāng)然，最終判斷結(jié)果還要綜合下面的allow、deny語句中各自所包含的范圍；（也就是說order語句后面可以沒有allow、deny語句）

6. allow、deny語句中，第二個(gè)單詞一定是“from”，否則Apache會(huì)因錯(cuò)而無法啟動(dòng)，

7. “order allow,deny”代表先判斷allow語句再判斷deny語句，反之亦然。

上面說的都是要記住的，而下面說的是我獨(dú)創(chuàng)的理解方法。如果有人看了而沒有豁然開朗的感覺，那算是我的失??！

判斷原則分4步走：

1. 首先判斷默認(rèn)的；

2. 然后判斷逗號(hào)前的；

3. 最后判斷逗號(hào)后的；

4. 最終按順序疊加而得出判斷結(jié)果。

上面三點(diǎn)我說的簡單而形象，主要是為了便于記憶。暫時(shí)不理解不要緊，繼續(xù)看下面詳細(xì)的解說自然會(huì)明白。下面以一個(gè)普通例子來做解釋——

order deny,allow
allow from 218.20.253.2
deny from 218.20

1. 所謂“首先判斷默認(rèn)的”，就是判斷“order deny,allow”這句，它默認(rèn)是允許所有；

2. 所謂“然后判斷逗號(hào)前的”，因?yàn)樵诒纠又械膐rder語句里面，deny在逗號(hào)的前面，所以現(xiàn)在輪到判斷下面的deny語句了——“deny from 218.20”；

3. 所謂“最后判斷逗號(hào)后的”，因?yàn)樵诒纠又械膐rder語句里面，allow在逗號(hào)的后面，所以最后輪到判斷下面的allow語句了——“allow from 218.20.253.2”。

4. 所謂“最終按順序疊加而得出判斷結(jié)果”，這是一個(gè)形象化了的說法，我把每一步判斷都看作一個(gè)“不透明的圖層”，然后一步步按順序疊加上去，最終得出的“圖像”就是判斷結(jié)果。

用過作圖軟件的人應(yīng)該都知道“圖層”是怎么回事，我估計(jì)Apache關(guān)于order allow deny這方面的設(shè)計(jì)理念和photoshop等作圖軟件關(guān)于圖層的設(shè)計(jì)理念是一樣的。即“游戲規(guī)則”是一樣的。

那么上面的例子就可以是這么一個(gè)步驟和圖像——

1. 先畫一個(gè)白色的大圓，代表“order deny,allow”語句，默認(rèn)意思是允許所有；

2. 然后畫一個(gè)小一點(diǎn)的黑色圓，代表“deny from 218.20”語句，意思是拒絕所有以218.20開頭的IP，放進(jìn)白色的大圓里面；

3. 最后再畫一個(gè)白色的圓，代表“allow from 218.20.253.2”語句，意思是允許218.20.253.2通過，放在黑色圓的上面。

4. 到此為止，我們已經(jīng)可以看到一個(gè)結(jié)果了，白色大圓上面有一個(gè)黑色圓，黑色圓上面還有一個(gè)白色圓。最后，我們所能看到的黑色部分就是拒絕通行的，剩下的白色部分都是允許通行的。判斷的結(jié)果就是這么簡單形象！

如果不懂的用作圖軟件，我們?cè)賮韨€(gè)非常貼近生活的比喻——

把上面的例子改動(dòng)一點(diǎn)點(diǎn)，以便更好的理解：

order deny,allow

allow from 218.20.253.2

deny from 219.30

1. 首先拿一張A4白紙，代表第order語句，意思是允許全部；

2. 然后拿一張黑色紙剪一個(gè)圓，放在A4紙里面的某個(gè)位置上，代表deny語句，意思是拒絕所有以219.30開頭的IP；

3. 最后拿白紙?jiān)偌粢粋€(gè)圓，放在黑色圓的旁邊，代表allow語句，意思是允許218.20.253.2通過；注意，這個(gè)例子不是放進(jìn)黑色圓里面了，因?yàn)閐eny和allow語句不再有相互包含的關(guān)系了。

4. A4紙上面有一個(gè)黑色圓和一個(gè)白色圓，結(jié)果自然很明顯了。不過白色的A4紙上再放一個(gè)白色的圓，顯然是多余的了，因?yàn)榇蠹叶际前咨?，都代表允許，所以就重復(fù)了，可以去掉白色的圓而不會(huì)影響判斷結(jié)果。

如果看到這里還沒明白，那一定是我還有什么沒說清楚的。那么請(qǐng)好好分析我所做過的測試?yán)?，將在最后列出來?/p>

在這里再啰嗦一下，allow、deny語句后面跟的參數(shù)有多種形式，有不同的表達(dá)方式，我在網(wǎng)上看到的做法是deny from IP1 IP2 IP3或allow from domain.com等。其它的表達(dá)方式大家再找別的資料看吧。我想說的是另一種表達(dá)方式：

order deny,allow
allow from IP1 IP2
allow from domain.info
allow from 219.20.55.0/24
deny from all

我沒具體驗(yàn)證過這是否對(duì)，不過這樣是可以正常啟動(dòng)Apache服務(wù)的，按道理應(yīng)該是正確的表達(dá)方式。哈哈，像我這樣的入門者只能這樣了，還希望大家多多指教！

下面是測試過的例子：

Order deny,allow
allow from all
deny from 219.204.253.8
#全部都可以通行