Protección por contraseña

1. Intrucciones
2. Creación en línea del fichero .htpasswd

1.- Instrucciones

Esta protección se usa cuando queremos proteger nuestras páginas mediante una o varias claves de acceso.

Al igual que en el caso de protección por IP, es necesario un fichero .htaccess (el punto inicial es importante) que le indica al servidor web que debe proteger el contenido de ese directorio o de los descendientes. En este caso se hace necesario, además, un fichero de contraseñas llamado .htpasswd (el punto inicial es importante) , donde se almacenaran las parejas usuario/contraseña que permitiran el acceso. Estas contraseñas se guardan encriptadas en este fichero de claves como medida de seguridad.

En el fichero .htaccess se indicarán los nombres de los usuarios a los que se les permite el acceso, o bien la directiva "require valid user" que le indica al servidor que permita el acceso a cualquier usuario que se haya autenticado mediante la contraseña almacenada en el fichero de claves.

Esta configuración permite el uso de varios .htaccess repartidos por nuestro web, pero referenciando todos ellos a un único fichero de claves donde podemos centralizar la gestión de contraseñas de acceso.

A continuación se muestra un ejemplo de .htaccess que protegería un directorio del web.

Supongamos que nuestra cuenta fuera por ejemplo giisw, y el directorio que queremos proteger en el servidor web es 'dirprivado.' Además tenemos el fichero de claves .htpasswd en el directorio raíz de nuestra cuenta, es decir /home/web/gissw con los usuarios siguientes:

.htpasswd
---------------------------------------------------------
Benito:beZY8.8u55FFQ
Alicia:alvexVvL9Po2s
Paco:oLCOhrNRe7GtQ
---------------------------------------------------------

El fichero .htaccess que debemos transferir al directorio 'dirprivado' sería el siguiente:

.htaccess
---------------------------------------------------------
AuthName "Zona Privada de GIIWS"
AuthType Basic
AuthUserFile /home/web/giisw/.htpasswd
require valid-user
---------------------------------------------------------

Con el parámetro AuthUserFile le decimos dónde está el fichero de claves, es decir en /home/web/giisw/.htpasswd

En este caso tanto los usuarios Benito, Alicia y Paco una vez que hayan introducido correctamente su clave podrán acceder al directorio. Para permitir el acceso solamente a algunos usuarios habría que cambiar la última línea, aquella que indica require valid-user.

Por ejemplo, supongamos que ahora sólo queremos permitir el acceso a Alicia y a Benito pero no a Paco. La última línea del .htaccess anterior seria entonces:

require user Alicia Benito

El fichero .htaccess quedaría de la siguiente forma:

.htaccess
---------------------------------------------------------
AuthName "Zona Privada de GIIWS"
AuthType Basic
AuthUserFile /home/web/giisw/.htpasswd
require user Aliacia Benito
---------------------------------------------------------

Vamos a ver a continuación cómo se crea el fichero de claves.

2.- Creación en línea del fichero .htpasswd

Para crear el fichero .htpasswd siga las siguientes instrucciones:

- Cree un fichero de texto con cualquier de editor de texto. (p. e. con el bloc de notas) que se llame .htpasswd con el punto inicial. Nota: Si windows no le deja crearlo, podemos crear uno llamado htpasswd.txt y una vez transferido al servidor web lo renombramos al nombre correcto.

- Añada todos los pares de usuario clave que necisite utilizando el resultado de este formulario.

- Una vez añadidos todos los pares usuario:clave_cifrada, envielos mediante el programa de transferencia de ficheros ftp/sftp. Nota: Si no pudo crearlo en su ordenador el fichero con nombre .htpassw renómbrelo en el servidor una vez transferido.

- Una vez transferido pruebe que funciona correctamente.