相关模块和指令

访问控制可以由几个不同的模块完成。 其中最重要的是mod_authz_core和mod_authz_host。 本文还讨论了使用mod_rewrite的访问控制。

主机访问控制

如果您希望根据访问者的主机地址限制访问您网站的部分内容，那么使用mod_authz_host完成访问最容易。

“Require”提供了多种不同的方式来允许或拒绝访问资源。 结合RequireAll，RequireAny和RequireNone指令，这些要求可以以任意复杂的方式组合，以执行您的访问策略所发生的任何事情。

由mod_access_compat提供的“Allow”，“Deny”和“Order”指令已被弃用，并将在以后的版本中消失。 你应该避免使用它们，并避免推荐使用过时的教程。

这些指令的用法是：

Require host address
Require ip ip.address```
在第一种形式中，***address***是一个完全限定域名（或部分域名）; 如果需要，您可以提供多个地址或域名。

在第二种形式中，***ip.address***是IP地址，部分IP地址，网络/网络掩码对或网络/ nnn CIDR规范。 可以使用IPv4或IPv6地址。
有关此语法的进一步示例，请参阅[mod_authz_host文档](https://httpd.apache.org/docs/2.4/en/mod/mod_authz_host.html#requiredirectives)。

您可以插入not来否定特定要求。 请注意，由于not是值的否定，它本身不能用于允许或拒绝请求，就像not
 true不等于false。 因此，要拒绝使用否定的访问，块必须具有一个评估为true或false的元素。 例如，如果您有某人垃圾邮件您的留言板，并且您想要保留他们，您可以执行以下操作：

<RequireAll>
Require all granted
Require not ip 10.252.46.165
</RequireAll>```
来自该地址（10.252.46.165）的访问者将无法看到本指令涵盖的内容。 如果相反，您有机器名称，而不是IP地址，您可以使用它。

Require not host host.example.com```
而且，如果您想阻止整个域的访问，您只能指定地址或域名的一部分：

Require not ip 192.168.205
Require not host phishers.example.com moreidiots.example
Require not host gov```
可以使用RequireAll，RequireAny和RequireNone指令来执行更复杂的需求集。

任意变量访问控制

[F] RewriteRule标志会导致403 Forbidden响应被发送。 使用它，您可以根据任意条件拒绝对资源的访问。

例如，如果您希望在晚上8点至6点之间阻止访问资源，可以使用mod_rewrite进行访问。

RewriteEngine On
RewriteCond "%{TIME_HOUR}" ">=20" [OR]
RewriteCond "%{TIME_HOUR}" "<07"
RewriteRule "^/fridge"     "-" [F]```
这将在晚上8点或上午7点之前返回403 Forbidden回应。 该技术可用于您希望检查的任何标准。 如果该方法是首选，您还可以重定向或以其他方式重写这些请求。

2.4中添加的<If>指令代替了mod_rewrite传统上习惯做的许多事情，您应该在使用mod_rewrite之前先看看。
##More information
[expression engine](https://httpd.apache.org/docs/2.4/en/expr.html)为您提供了大量基于任意服务器变量执行各种功能的功能，您应该查阅该文档以获取更多详细信息。

此外，您应该阅读[mod_authz_core](https://httpd.apache.org/docs/2.4/en/mod/mod_authz_core.html)文档，了解组合多个访问需求并指定它们如何交互的示例。

另见[Authentication and Authorization](https://httpd.apache.org/docs/2.4/en/howto/auth.html) howto。