哪裏可以放置Apache的密碼文件？

Question

當我今天部署應用程序時，我問自己什麼是Apache密碼文件存儲的最佳實踐。

例如：

• 我有基於服務器名稱的幾個虛擬主機，在每一個單獨的文件中/etc/apache/sites-available
• 有些虛擬主機是使用htpasswd工具密碼保護聲明。
• 在幾個虛擬主機之間沒有帳號。這意味着每個虛擬主機都有自己的密碼文件。
• 這些網站中的每一個都部署爲/var/www/projectname
• 由於這些應用程序是通過連續集成構建的，因此不能將密碼文件放在項目文件夾中。他們將在下次部署時被刪除。

那裏把那些文件呢？

Answer 1

首先apache basic-auth是垃圾，應該避免。無論如何，如果你有身份驗證請確保它通過https，否則它完全無用。 （和是，SO's authentication is completely and totally useless because its not over https）

如果必須使用Apache的身份驗證使用AuthDigestFile和文件存儲文檔根目錄之外。確保您的Web應用程序不具有讀取權限。