htpasswd Oluşturucu

htpasswd Oluşturucu nedir?

htpasswd Oluşturucu, HTTP Basic Kimlik Doğrulaması tarafından kullanılan kimlik bilgilerini oluşturmaya yarayan, tarayıcı içinde çalışan ücretsiz bir araçtır. Sistem yöneticileri ve web geliştiricileri, Apache'nin komut satırı htpasswd aracını kurmadan bir dizini veya yönetici panelini kullanıcı adı ve parolayla korumak için kullanır. Bir .htpasswd dosyasına ekleyeceğiniz tek bir user:hash satırı üretir; bcrypt (en güçlüsü, $2y$ biçimi), APR1 (Apache'nin taşınabilir MD5'i, $apr1$ biçimi) veya SHA-1 (SHA biçimi) seçilebilir. Ayrıca aynı kimlik bilgilerini curl veya bir REST istemcisiyle test edebilmeniz için karşılık gelen Authorization: Basic üst bilgisini de türetir. bcrypt maliyet katsayısı, daha güçlü veya daha hızlı karma için Ayarlar'dan yapılandırılabilir.

htpasswd Oluşturucu nasıl kullanılır

1. Oturum açacak kullanıcı adını girin.
2. Hesabı koruyacak parolayı yazın; bu alanda kalır ve hiçbir yere gönderilmez.
3. Yalnızca bir API isteği veya curl testi için gerekiyorsa Basic Authorization üst bilgisini hemen kopyalayın.
4. Karma algoritmasını (bcrypt, APR1 veya SHA-1) ve bcrypt için maliyet katsayısını seçmek üzere Ayarlar'ı açın.
5. Karması alınmış .htpasswd satırını hesaplamak için Oluştur'a basın, ardından sunucunuzun .htpasswd dosyasına kopyalayın.

Örnekler

kullanıcı: admin, parola: s3cret, algoritma: bcrypt (maliyet 10)

admin:$2y$10$... (60 karakterlik bir bcrypt karması, her seferinde rastgele salt)

kullanıcı: admin, parola: s3cret

Basic YWRtaW46czNjcmV0

kullanıcı: web, parola: pass123, algoritma: APR1

web:$apr1$<salt>$<22 karakterlik karma>

Sıkça sorulan sorular

Parolam bir sunucuya gönderiliyor mu?

Hayır. Hem Basic üst bilgisi hem de .htpasswd karması, Web Crypto API ve tarayıcı içindeki bir WebAssembly karma motoru kullanılarak tamamen tarayıcınızda hesaplanır. Hiçbir şey herhangi bir sunucuya yüklenmez veya orada saklanmaz, bu yüzden araç çevrimdışı çalışır ve parolanız sayfayı asla terk etmez.

Hangi karmayı seçmeliyim?

Yeni kurulumlar için bcrypt kullanın; kırılmaya karşı en dayanıklı olanıdır ve modern Apache ile nginx tarafından desteklenir. APR1 ($apr1$), Apache'nin taşınabilir MD5'idir ve eski yapılandırmalar için kullanışlıdır. SHA-1 ({SHA}) en zayıf olanıdır; bir sistem özellikle gerektirmedikçe kaçınmak en iyisidir.

Oluştur düğmesi neden biraz zaman alıyor?

bcrypt ve APR1, kaba kuvvet saldırılarına direnmek için kasıtlı olarak yavaştır ve bcrypt ilk kullanımda küçük bir WebAssembly modülü de yükler. Daha yüksek bir maliyet katsayısı bcrypt'i daha yavaş ama daha güçlü yapar. SHA-1 ve Basic üst bilgisi anlıktır.

Gerçek htpasswd komutuyla eşleşiyor mu?

Evet. bcrypt satırları Apache'nin beklediği $2y$ önekini kullanır, APR1 rastgele salt ile standart $apr1$ biçimini kullanır ve SHA-1 {SHA} şemasını kullanır; hepsi htpasswd ile üretilen dosyalarla uyumludur.

Bunu nginx için kullanabilir miyim?

Evet. nginx'in auth_basic_user_file değeri aynı .htpasswd biçimini okur, bu yüzden bir bcrypt veya APR1 satırı doğrudan çalışır. nginx {SHA} desteklemez, bu nedenle onun için bcrypt veya APR1 seçin.