Apache 웹 서버에서 사용자 인증 처리 .htpasswd를 이용한 로그인 구현

.htpasswd를 이용한 로그인 구현은 보통 Apache 웹 서버에서 사용자 인증을 처리할 때 사용됩니다. .htpasswd 파일은 사용자 이름과 암호를 저장한 파일로, 이를 .htaccess와 함께 사용하여 웹 페이지에 대한 접근을 제어합니다.

이 방식은 PHP 코드와 별개로 서버 레벨에서 기본 인증을 구현하는 방식이므로, PHP로 로그인 처리를 직접 하는 것과는 약간 다릅니다. 그러나 .htpasswd를 사용하여 로그인 처리를 구현하는 방법을 안내드리겠습니다.

1. .htpasswd 파일 생성

먼저, .htpasswd 파일을 생성해야 합니다. 이 파일은 사용자의 이름과 비밀번호를 암호화된 형태로 저장합니다. 보안상의 이유로 .htpasswd 파일은 웹 서버 외부에 두어야 합니다.

1.1 .htpasswd 파일 생성

htpasswd 명령어를 사용하여 .htpasswd 파일을 생성합니다. 예를 들어, username이라는 사용자에 대해 비밀번호를 password123로 설정한다고 가정하겠습니다.

htpasswd -c /path/to/.htpasswd username

 

-c 옵션은 .htpasswd 파일을 새로 생성하는 옵션입니다. 그 후 비밀번호를 입력하라는 메시지가 표시됩니다.

이렇게 생성된 .htpasswd 파일은 다음과 같은 형식을 가집니다.

username:$apr1$LwqCLO...$xxYdsNsjVpkjBpq9J6dTP1

 

$apr1$ 뒤의 값은 암호화된 비밀번호입니다.

2. .htaccess 파일 설정

웹 서버의 인증을 설정하려면 .htaccess 파일을 사용하여 인증 영역을 설정해야 합니다.

2.1 .htaccess 파일 생성

웹 서버에서 인증이 필요한 디렉토리(예: admin 디렉토리) 내에 .htaccess 파일을 생성합니다.

AuthType Basic
AuthName "Restricted Area"
AuthUserFile /path/to/.htpasswd
Require valid-user

 

• AuthType Basic: 기본 인증을 사용합니다.
• AuthName: 인증 요청 시 나타날 메시지입니다.
• AuthUserFile: .htpasswd 파일의 절대 경로를 지정합니다.
• Require valid-user: .htpasswd 파일에 정의된 유효한 사용자만 접근을 허용합니다.

이 .htaccess 파일이 있는 디렉토리에서 접근 시, Apache는 사용자가 .htpasswd 파일에 있는 사용자 이름과 비밀번호를 입력하도록 요구합니다.

3. PHP로 인증 처리하기 (옵션)

만약 PHP로 .htpasswd 파일을 사용한 인증을 처리하고 싶다면, 기본 인증을 사용하지 않고, PHP에서 .htpasswd 파일을 읽어 비밀번호를 비교하는 방법을 사용할 수 있습니다. 이 경우, PHP로 사용자 인증을 처리하고 세션 등을 활용하여 로그인 상태를 유지할 수 있습니다.

3.1 PHP 코드로 인증 처리

<?php
session_start();

// .htpasswd 파일 경로
$htpasswd_file = '/path/to/.htpasswd';

// 사용자 입력 받은 값
$username = $_POST['username'] ?? '';
$password = $_POST['password'] ?? '';

// .htpasswd 파일에서 사용자 정보 찾기
$lines = file($htpasswd_file, FILE_IGNORE_NEW_LINES);

$is_authenticated = false;
foreach ($lines as $line) {
    list($stored_user, $stored_hash) = explode(':', $line);
    if ($username === $stored_user && password_verify($password, $stored_hash)) {
        $is_authenticated = true;
        break;
    }
}

if ($is_authenticated) {
    $_SESSION['is_logged_in'] = true;
    echo "로그인 성공!";
} else {
    echo "잘못된 사용자 이름 또는 비밀번호입니다.";
}
?>

위 코드는 .htpasswd 파일에서 사용자 이름과 해시된 비밀번호를 읽고, 사용자가 입력한 비밀번호를 password_verify로 비교하여 로그인 처리를 합니다.

결과

• .htpasswd 파일을 이용하여 기본 인증을 구현하려면, .htaccess 파일과 .htpasswd 파일을 설정해야 합니다.
• PHP 코드로 인증을 처리하려면 .htpasswd 파일에서 사용자 정보를 읽어 password_verify로 비밀번호를 비교하고, 로그인 상태를 세션으로 관리할 수 있습니다.

이렇게 .htpasswd를 이용하여 기본 인증을 구현하거나, PHP로 직접 인증을 처리할 수 있습니다.

 

.htpasswd 파일에 사용자를 추가하는 방법은 두 가지입니다. 하나는 수동으로 .htpasswd 파일에 추가하는 방법이고, 다른 하나는 htpasswd 명령어를 사용하여 자동으로 추가하는 방법입니다. 두 가지 방법을 모두 설명드리겠습니다.

1. htpasswd 명령어를 사용한 사용자 추가

htpasswd 명령어는 .htpasswd 파일에 사용자를 추가하거나 비밀번호를 설정할 수 있는 유용한 도구입니다. 서버에서 htpasswd 명령어를 사용할 수 있도록 되어 있어야 하며, Linux나 Mac 환경에서 바로 사용 가능합니다. Windows의 경우 Apache를 설치하고 htpasswd 명령어를 사용할 수 있습니다.

1.1 새 사용자 추가

새 사용자를 .htpasswd 파일에 추가하려면 -c 옵션 없이 다음 명령어를 사용합니다. -c는 파일을 새로 만들 때만 사용하며, 이미 존재하는 파일에 추가하려면 사용하지 않습니다.

htpasswd /path/to/.htpasswd newuser

이 명령어는 **newuser**라는 사용자를 .htpasswd 파일에 추가합니다. 그 후 비밀번호를 입력하라는 프롬프트가 표시됩니다.

1.2 기존 사용자 비밀번호 변경

기존 사용자의 비밀번호를 변경하려면 아래 명령어를 사용합니다.

htpasswd /path/to/.htpasswd existinguser

existinguser의 비밀번호를 입력하라는 메시지가 뜨면 새 비밀번호를 입력하면 됩니다.

1.3 자동화된 비밀번호 해시 생성

만약 비밀번호 해시만 필요하다면, htpasswd 명령어를 사용하지 않고 자동으로 해시된 비밀번호를 생성할 수 있습니다. 예를 들어, PHP에서 비밀번호 해시를 생성하려면 다음과 같이 할 수 있습니다.

<?php
$password = 'yourpassword'; // 원본 비밀번호
$hash = password_hash($password, PASSWORD_DEFAULT); // 해시화된 비밀번호
echo $hash; // 해시된 비밀번호 출력
?>

해시된 값을 .htpasswd 파일에 추가할 수 있습니다. 

htpasswd 명령어는 기본적으로 APR1 방식으로 비밀번호를 해시하지만, PHP에서 password_hash를 사용하면 더 강력한 알고리즘이 적용됩니다.

 

2. 수동으로 .htpasswd 파일에 사용자 추가하기

.htpasswd 파일은 평문 텍스트 파일이므로, 텍스트 편집기로 수동으로 사용자를 추가할 수 있습니다. 각 사용자 정보는 username:hashed_password 형태로 기록됩니다.

2.1 새 사용자 추가

새 사용자를 추가하려면 .htpasswd 파일을 열고, 다음 형식으로 새로운 사용자 이름과 해시된 비밀번호를 입력합니다.

newuser:$apr1$randomhash$examplehashedpassword

**newuser**는 사용자 이름이고, **$apr1$randomhash$examplehashedpassword**는 암호화된 비밀번호입니다.

비밀번호 해시는 htpasswd 명령어를 통해 생성할 수 있습니다. 아니면 위에서 언급한 대로 PHP로 해시를 생성한 후, 해당 값을 .htpasswd 파일에 붙여넣으면 됩니다.

2.2 비밀번호 해시 생성 (수동 방법)

htpasswd 명령어 없이 비밀번호 해시를 수동으로 생성하려면, PHP를 사용하여 password_hash로 비밀번호를 해시한 후, 해당 해시값을 .htpasswd에 추가합니다.

<?php
// 비밀번호를 해시화
$password = 'yourpassword';
$hashed_password = password_hash($password, PASSWORD_DEFAULT);

// 해시된 비밀번호 출력
echo $hashed_password;
?>

해시된 비밀번호는 .htpasswd 파일에 아래와 같은 형식으로 추가됩니다.

newuser:$2y$10$7DiZktkZfcsOXFfhgV7rrCeCbuoy1ECb8xfX2AlAzz62L6FuYc3.a

3. .htpasswd 파일의 위치

.htpasswd 파일은 웹 루트 디렉토리와는 다른 안전한 위치에 배치해야 합니다. 이를 통해 웹을 통해 직접적으로 접근할 수 없도록 해야 합니다. 예를 들어, 서버의 home 디렉토리 또는 etc 디렉토리와 같은 곳에 두는 것이 좋습니다.

예시 경로:

• /etc/apache2/.htpasswd
• /home/user/.htpasswd

중요: .htpasswd 파일은 웹 서버에서 접근할 수 없는 위치에 두어야 합니다. 그렇지 않으면 사용자가 .htpasswd 파일에 직접 접근할 수 있습니다.

요약

• 새 사용자 추가: htpasswd 명령어를 사용하여 사용자와 비밀번호를 .htpasswd 파일에 추가합니다.
• 수동으로 추가: .htpasswd 파일을 열고, 사용자와 해시된 비밀번호를 username:hashed_password 형식으로 추가합니다.
• 비밀번호 해시 생성: PHP에서 password_hash()를 사용하거나 htpasswd 명령어를 사용하여 해시된 비밀번호를 생성하고 이를 .htpasswd 파일에 추가합니다.

이 방법으로 .htpasswd 파일에 사용자 정보를 추가하고, .htaccess 파일을 통해 해당 사용자에 대한 인증을 요구할 수 있습니다.