En ocasiones necesitamos proteger una parte o una aplicación web completa de los ojos curiosos que abundan en la red. Gracias al servidor Apache, tenemos una forma muy sencilla de hacerlo utilizando unas sencillas directivas de autentificación y dos archivos en texto plano.

El proceso consiste en crear un archivo .htaccess en el directorio a proteger. La configuración habitual de Apache consulta en cada petición si existe este archivo añadiendo las directivas que contenga al flujo normal de proceso.

En el archivo recién creado introduciremos las siguientes directivas de autenticación.

AuthType Basic
AuthName “Una descripción”
AuthUserFile /ruta/absoluta/al/archivo/.htpasswd
Require valid-user

Podéis consultar el valor de estas directivas en el manual de Apache, pero la única que debemos modificar es la tercera. Básicamente estamos definiendo una autentificación básica de acceso al directorio. Necesitaremos un usuario válido para poder acceder, usuario que debe estar definido en un archivo de claves .htpasswd.

El archivo de claves es un sencillo fichero de texto plano con un par usuario/contraseña (encriptada) en cada línea. Sólo los usuarios definidos en este fichero serán capaces de acceder al directorio protegido. Para crear este archivo y añadir usuarios/contraseñas tenemos un comando en Unix la mar de útil, htpasswd.

# htpasswd -c .htpasswd usuario

Con ‘-c’ le indicamos que cree un fichero de claves (.htpasswd), y usuario es el nombre del usuario que queremos añadir. Así, si queremos añadir al usuario Simon, ejecutaríamos esta línea.

# htpasswd -c .htpasswd Simon

A continuación el sistema nos pedirá que establezcamos una contraseña para el usuario recién añadido. La confirmamos, y… se acabó. Ya disponemos de un directorio web protegido por contraseña, al que sólo tendrán acceso los usuarios que nosotros definamos.

Si no disponéis acceso a la consola de vuestro servidor, podéis crear los archivos en texto plano y subirlos a vuestro servidor vía ftp. Para crear los pares usuarios/clave podéis utilizar uno de los muchos generadores automáticos htpasswd que podéis encontrar en Google.