验证客户端最简单的方法是通过 HTTP 基本身份验证机制，该机制只需使用用户名和密码来验证用户的身份。Apache 提供了htpasswd 实用程序^[49] 用于管理包含用户名和密码的文件。

	警告
	基本身份验证非常不安全，因为它以几乎纯文本的形式在网络上传输密码。有关使用更安全的 Digest 机制的信息，请参见名为“摘要身份验证”的部分。

首先，创建一个密码文件并授予 Harry 和 Sally 访问权限

$ ### First time: use -c to create the file
$ ### Use -m to use MD5 encryption of the password, which is more secure
$ htpasswd -c -m /etc/svn-auth.htpasswd harry
New password: *****
Re-type new password: *****
Adding password for user harry
$ htpasswd -m /etc/svn-auth.htpasswd sally
New password: *******
Re-type new password: *******
Adding password for user sally
$

接下来，确保 Apache 可以访问提供基本身份验证和相关功能的模块：mod_auth_basic、mod_authn_file 和 mod_authz_user。在许多情况下，这些模块被编译到 httpd 本身，但如果不是，您可能需要使用 LoadModule 指令显式加载其中一个或多个模块。

LoadModule auth_basic_module   modules/mod_auth_basic.so
LoadModule authn_file_module   modules/mod_authn_file.so
LoadModule authz_user_module   moduels/mod_authz_user.so

确保 Apache 可以访问所需的功能后，您需要在 <Location> 块中添加更多指令，以告诉 Apache 您希望使用哪种类型的身份验证，以及如何执行该操作。

<Location /svn>
  DAV svn
  SVNParentPath /var/svn

  # Authentication: Basic
  AuthName "Subversion repository"
  AuthType Basic
  AuthBasicProvider file
  AuthUserFile /etc/svn-auth.htpasswd
</Location>

这些指令的工作原理如下

但是，此 <Location> 块目前还没有做任何有用的事情。它只是告诉 Apache 如果需要授权，它应该向 Subversion 客户端请求用户名和密码。（当需要授权时，Apache 也需要身份验证。）然而，这里缺少的是指示 Apache 哪些类型的 客户端请求需要授权的指令；目前，没有任何指令。最简单的方法是指定所有请求都通过添加 Require valid-user 到块中来要求授权。

<Location /svn>
  DAV svn
  SVNParentPath /var/svn

  # Authentication: Basic
  AuthName "Subversion repository"
  AuthType Basic
  AuthBasicProvider file
  AuthUserFile /etc/svn-auth.htpasswd

  # Authorization: Authenticated users only
  Require valid-user
</Location>

有关 Require 指令以及其他设置授权策略的方法的更多详细信息，请参见名为“授权选项”的部分。

	注意
	AuthBasicProvider 选项的默认值为 file，因此我们不会在以后的示例中包含它。只需知道，如果您在更广泛的上下文中将此值设置为其他值，则需要在 Subversion <Location> 块中显式将其重置为 file，才能获得这种行为。

摘要身份验证是对基本身份验证的改进，它允许服务器验证客户端的身份，而无需在网络上传输未经保护的密码。客户端和服务器都会对用户名、密码、请求的 URI 和服务器提供的 nonce（一次性号码）进行不可逆的 MD5 散列，并且每次需要身份验证时都会更改。客户端将散列发送到服务器，然后服务器验证散列是否匹配。

配置 Apache 以使用摘要身份验证非常简单。您需要确保 mod_auth_digest 模块可用（而不是 mod_auth_basic），然后对之前的示例进行一些小的改动。

<Location /svn>
  DAV svn
  SVNParentPath /var/svn

  # Authentication: Digest
  AuthName "Subversion repository"
  AuthType Digest
  AuthDigestProvider file
  AuthUserFile /etc/svn-auth.htdigest

  # Authorization: Authenticated users only
  Require valid-user
</Location>

请注意，AuthType 现在被设置为 Digest，并且我们为 AuthUserFile 指定了不同的路径。摘要身份验证使用与基本身份验证不同的文件格式，该格式由 Apache 的 htdigest 实用程序^[50] 而不是 htpasswd 创建和管理。摘要身份验证还具有额外的 “领域” 概念，它必须与 AuthName 指令的值匹配。

	注意
	对于摘要身份验证，可以使用 AuthDigestProvider 选择身份验证提供程序，如前例所示。与 AuthBasicProvider 指令一样，file 是 AuthDigestProvider 选项的默认值，因此此行并非严格要求，除非您需要覆盖从更广泛的配置上下文中继承的不同值。

可以按如下方式创建密码文件：

$ ### First time: use -c to create the file
$ htdigest -c /etc/svn-auth.htdigest "Subversion repository" harry
Adding password for harry in realm Subversion repository.
New password: *****
Re-type new password: *****
$ htdigest /etc/svn-auth.htdigest "Subversion repository" sally
Adding user sally in realm Subversion repository
New password: *******
Re-type new password: *******
$

最简单的访问控制形式是授权某些用户对存储库进行只读访问或对存储库进行读写访问。

您可以通过在 <Location> 块内直接添加 Require valid-user 来限制所有存储库操作的访问权限。来自名为“摘要身份验证”的部分 的示例只允许成功通过身份验证的客户端对 Subversion 存储库执行任何操作。

<Location /svn>
  DAV svn
  SVNParentPath /var/svn

  # Authentication: Digest
  AuthName "Subversion repository"
  AuthType Digest
  AuthUserFile /etc/svn-auth.htdigest

  # Authorization: Authenticated users only
  Require valid-user
</Location>

有时您不需要执行如此严格的管理。例如，Subversion 自己的源代码存储库位于http://svn.collab.net/repos/svn，它允许世界上任何人都执行只读存储库任务（例如检出工作副本和浏览存储库），但将写入操作限制为经过身份验证的用户。 Limit 和 LimitExcept 指令允许进行这种类型的选择性限制。与 Location 指令一样，这些块也有开始和结束标签，您会将它们嵌套在 <Location> 块中。

Limit 和 LimitExcept 指令上存在的参数是受该块影响的 HTTP 请求类型。例如，要允许匿名只读操作，您将使用 LimitExcept 指令（传递 GET、PROPFIND、OPTIONS 和 REPORT 请求类型参数）并将之前提到的 Require valid-user 指令放在 <LimitExcept> 块内，而不是仅放在 <Location> 块内。

<Location /svn>
  DAV svn
  SVNParentPath /var/svn

  # Authentication: Digest
  AuthName "Subversion repository"
  AuthType Digest
  AuthUserFile /etc/svn-auth.htdigest

  # Authorization: Authenticated users only for non-read-only
  #                (write) operations; allow anonymous reads
  <LimitExcept GET PROPFIND OPTIONS REPORT>
    Require valid-user
  </LimitExcept>
</Location>

这些只是一些简单的示例。有关 Apache 访问控制和 Require 指令的更深入的信息，请查看 Apache 文档教程集合中的 Security 部分，地址为https://httpd.apache.ac.cn/docs-2.0/misc/tutorials.html。

可以使用 mod_authz_svn 设置更细粒度的权限。此 Apache 模块获取从客户端到服务器传递的各种不透明 URL，要求 mod_dav_svn 解码它们，然后根据配置文件中定义的访问策略可能否决请求。

如果您从源代码构建了 Subversion，则 mod_authz_svn 会自动构建并与 mod_dav_svn 一起安装。许多二进制发行版也会自动安装它。要验证它是否已正确安装，请确保它位于 httpd.conf 中 mod_dav_svn 的 LoadModule 指令之后。

LoadModule dav_module         modules/mod_dav.so
LoadModule dav_svn_module     modules/mod_dav_svn.so
LoadModule authz_svn_module   modules/mod_authz_svn.so

要激活此模块，您需要将 <Location> 块配置为使用 AuthzSVNAccessFile 指令，该指令指定一个包含存储库中路径的权限策略的文件。（稍后，我们将讨论该文件的格式。）

Apache 很灵活，因此您可以选择以三种基本模式之一配置您的块。首先，选择以下基本配置模式之一。（以下示例非常简单；有关 Apache 身份验证和授权选项的更多详细信息，请查看 Apache 自身的文档。）

最开放的方法是允许所有人访问。这意味着 Apache 从不发送身份验证挑战，所有用户都被视为 “匿名”。（请参见示例 6.2：“匿名访问的示例配置”。）

<Location /repos>
  DAV svn
  SVNParentPath /var/svn

  # Authentication: None

  # Authorization: Path-based access control
  AuthzSVNAccessFile /path/to/access/file
</Location>

在偏执程度的另一端，您可以将 Apache 配置为验证所有客户端。此块无条件地通过 Require valid-user 指令要求身份验证，并定义一种方法来验证有效用户。（请参见示例 6.3：“经过身份验证的访问的示例配置”。）

<Location /repos>
  DAV svn
  SVNParentPath /var/svn

  # Authentication: Digest
  AuthName "Subversion repository"
  AuthType Digest
  AuthUserFile /etc/svn-auth.htdigest

  # Authorization: Path-based access control; authenticated users only
  AuthzSVNAccessFile /path/to/access/file
  Require valid-user
</Location>

第三种非常流行的模式是允许组合经过身份验证和匿名访问。例如，许多管理员希望允许匿名用户读取某些存储库目录，但将对更敏感区域的访问限制为经过身份验证的用户。在此设置中，所有用户最初都以匿名方式访问存储库。如果您的访问控制策略在任何时候都需要真实的用户名，Apache 将要求客户端进行身份验证。为此，请同时使用 Satisfy Any 和 Require valid-user 指令。（请参见示例 6.4：“混合经过身份验证/匿名访问的示例配置”。）

<Location /repos>
  DAV svn
  SVNParentPath /var/svn

  # Authentication: Digest
  AuthName "Subversion repository"
  AuthType Digest
  AuthUserFile /etc/svn-auth.htdigest

  # Authorization: Path-based access control; try anonymous access
  #                first, but authenticate if necessary
  AuthzSVNAccessFile /path/to/access/file
  Satisfy Any
  Require valid-user
</Location>

下一步是创建授权文件，其中包含对存储库中特定路径的访问规则。我们将在本章后面讨论如何操作，在名为“基于路径的授权”的部分 中。

The mod_dav_svn module goes through a lot of work to make sure that data you've marked “unreadable” doesn't get accidentally leaked. This means it needs to closely monitor all of the paths and file-contents returned by commands such as svn checkout and svn update. If these commands encounter a path that isn't readable according to some authorization policy, the path is typically omitted altogether. In the case of history or rename tracing—for example, running a command such as svn cat -r OLD foo.c on a file that was renamed long ago—the rename tracking will simply halt if one of the object's former names is determined to be read-restricted.

All of this path checking can sometimes be quite expensive, especially in the case of svn log. When retrieving a list of revisions, the server looks at every changed path in each revision and checks it for readability. If an unreadable path is discovered, it's omitted from the list of the revision's changed paths (normally seen with the --verbose (-v) option), and the whole log message is suppressed. Needless to say, this can be time-consuming on revisions that affect a large number of files. This is the cost of security: even if you haven't configured a module such as mod_authz_svn at all, the mod_dav_svn module is still asking Apache httpd to run authorization checks on every path. The mod_dav_svn module has no idea what authorization modules have been installed, so all it can do is ask Apache to invoke whatever might be present.

On the other hand, there's also an escape hatch of sorts, which allows you to trade security features for speed. If you're not enforcing any sort of per-directory authorization (i.e., not using mod_authz_svn or similar module), you can disable all of this path checking. In your httpd.conf file, use the SVNPathAuthz directive as shown in Example 6.5, “Disabling path checks altogether”.

<Location /repos>
  DAV svn
  SVNParentPath /var/svn

  SVNPathAuthz off
</Location>

The SVNPathAuthz directive is “on” by default. When set to “off,” all path-based authorization checking is disabled; mod_dav_svn stops invoking authorization checks on every path it discovers.

本书不涉及如何生成客户端和服务器 SSL 证书以及如何配置 Apache 以使用它们的描述。许多其他参考资料，包括 Apache 自己的文档，都描述了此过程。

	提示
	来自知名实体的 SSL 证书通常需要付费，但至少，你可以配置 Apache 以使用使用 OpenSSL（https://openssl.ac.cn）等工具生成的自签名证书。[51]

当通过 https:// 连接到 Apache 时，Subversion 客户端可能会收到两种不同的响应类型

$ svn list https://host.example.com/repos/project

Error validating server certificate for 'https://host.example.com:443':
 - The certificate is not issued by a trusted authority.  Use the
   fingerprint to validate the certificate manually!
Certificate information:
 - Hostname: host.example.com
 - Valid: from Jan 30 19:23:56 2004 GMT until Jan 30 19:23:56 2006 GMT
 - Issuer: CA, example.com, Sometown, California, US
 - Fingerprint: 7d:e1:a9:34:33:39:ba:6a:e9:a5:c4:22:98:7b:76:5c:92:a0:9c:7b

(R)eject, accept (t)emporarily or accept (p)ermanently?

[global]
ssl-authority-files = /path/to/CAcert1.pem;/path/to/CAcert2.pem

$ svn list https://host.example.com/repos/project

Authentication realm: https://host.example.com:443
Client certificate filename: /path/to/my/cert.p12
Passphrase for '/path/to/my/cert.p12':  ********

[groups]
examplehost = host.example.com

[examplehost]
ssl-client-cert-file = /path/to/my/cert.p12
ssl-client-cert-password = somepassword

为你的 Subversion 存储库配置 Apache/WebDAV 的最有用益处之一是，你的版本化文件和目录可以立即通过常规 Web 浏览器查看。由于 Subversion 使用 URL 来识别版本化资源，因此用于 HTTP 存储库访问的那些 URL 可以直接键入 Web 浏览器中。你的浏览器将对该 URL 发出 HTTP GET 请求；根据该 URL 是否表示版本化目录或文件，mod_dav_svn 将返回目录列表或文件内容。

http://host.example.com/repos/project/trunk/README.txt

http://host.example.com/repos/project/trunk/README.txt?r=1234

http://host.example.com/repos/project/trunk/deleted-thing.txt?p=321

http://host.example.com/repos/project/trunk/renamed-thing.txt?p=123&r=21

<Location /svn>
  DAV svn
  SVNParentPath /var/svn
  SVNIndexXSLT "/svnindex.xsl"
  …
</Location>

<Location /svn>
  DAV svn
  SVNParentPath /var/svn
  SVNListParentPath on
  …
</Location>

由于 Apache 本质上是一个 HTTP 服务器，因此它包含非常灵活的日志记录功能。讨论所有可以配置日志记录的方式超出了本书的范围，但我们应该指出，即使是最通用的 httpd.conf 文件也会导致 Apache 生成两个日志：error_log 和 access_log。这些日志可能出现在不同的位置，但通常是在您的 Apache 安装的日志记录区域中创建的。（在 Unix 上，它们通常位于 /usr/local/apache2/logs/ 中。）

error_log 描述了 Apache 在工作时遇到的任何内部错误。 access_log 文件记录 Apache 收到的每个传入 HTTP 请求。这使得您可以轻松地查看，例如，Subversion 客户端来自哪些 IP 地址、客户端使用服务器的频率、哪些用户通过身份验证以及哪些请求成功或失败。

不幸的是，由于 HTTP 是一种无状态协议，即使是最简单的 Subversion 客户端操作也会生成多个网络请求。查看 access_log 并推断出客户端在做什么非常困难——大多数操作看起来像一系列神秘的 PROPPATCH、GET、PUT 和 REPORT 请求。更糟糕的是，许多客户端操作发送几乎相同的请求序列，因此更难将它们区分开来。

mod_dav_svn 却可以帮助您。通过激活 “操作日志记录” 功能，您可以要求 mod_dav_svn 创建一个单独的日志文件，描述您的客户端正在执行的哪种高级操作。

为此，您需要使用 Apache 的 CustomLog 指令（在 Apache 的自述文件中进行了更详细的解释）。请务必在 Subversion Location 块 外部 调用此指令

<Location /svn>
  DAV svn
  …
</Location>

CustomLog logs/svn_logfile "%t %u %{SVN-ACTION}e" env=SVN-ACTION

在这个例子中，我们要求 Apache 在标准的 Apache logs 目录中创建一个特殊的日志文件 svn_logfile。 %t 和 %u 变量分别由请求的时间和用户名替换。真正重要的部分是 SVN-ACTION 的两个实例。当 Apache 看到该变量时，它会替换 SVN-ACTION 环境变量的值，该变量由 mod_dav_svn 在检测到高级客户端操作时自动设置。

因此，您不必像这样解释传统的 access_log

[26/Jan/2007:22:25:29 -0600] "PROPFIND /svn/calc/!svn/vcc/default HTTP/1.1" 207 398
[26/Jan/2007:22:25:29 -0600] "PROPFIND /svn/calc/!svn/bln/59 HTTP/1.1" 207 449
[26/Jan/2007:22:25:29 -0600] "PROPFIND /svn/calc HTTP/1.1" 207 647
[26/Jan/2007:22:25:29 -0600] "REPORT /svn/calc/!svn/vcc/default HTTP/1.1" 200 607
[26/Jan/2007:22:25:31 -0600] "OPTIONS /svn/calc HTTP/1.1" 200 188
[26/Jan/2007:22:25:31 -0600] "MKACTIVITY /svn/calc/!svn/act/e6035ef7-5df0-4ac0-b811-4be7c823f998 HTTP/1.1" 201 227
…

您可以浏览更清晰的 svn_logfile，就像这样

[26/Jan/2007:22:24:20 -0600] - get-dir /tags r1729 props
[26/Jan/2007:22:24:27 -0600] - update /trunk r1729 depth=infinity
[26/Jan/2007:22:25:29 -0600] - status /trunk/foo r1729 depth=infinity
[26/Jan/2007:22:25:31 -0600] sally commit r1730

除了 SVN-ACTION 环境变量外，mod_dav_svn 还填充了 SVN-REPOS 和 SVN-REPOS-NAME 变量，它们分别包含到存储库的文件系统路径和基本名称。您可能也希望在您的 CustomLog 格式字符串中包含对其中一个或两个变量的引用，尤其是在将来自多个存储库的使用信息组合到单个日志文件时。

有关所有记录的操作的详尽列表，请参见 名为“高级日志记录”的部分。

使用 Apache 作为 Subversion 服务器的一个好处是，可以将其设置为简单复制。例如，假设您的团队分布在全球四个办事处。Subversion 存储库只能存在于其中一个办事处，这意味着其他三个办事处将无法访问它——在更新和提交代码时，他们可能会遇到明显更慢的流量和响应时间。一个强大的解决方案是建立一个由一个 主 Apache 服务器和多个 从 Apache 服务器组成的系统。如果您在每个办事处放置一个从服务器，用户可以从最靠近他们的任何从服务器检出一个工作副本。所有读取请求都转到其本地从服务器。写入请求会自动路由到单个主服务器。提交完成后，主服务器随后会自动使用 svnsync 复制工具将新修订版 “推送到” 每个从服务器。

这种配置为您的用户创造了巨大的感知速度提升，因为 Subversion 客户端流量通常是 80-90% 的读取请求。如果这些请求来自 本地 服务器，那么这是一个巨大的优势。

在本节中，我们将指导您完成此单个主/多个从系统标准设置。但是，请记住，您的服务器必须至少运行 Apache 2.2.0（加载了 mod_proxy）和 Subversion 1.5（mod_dav_svn）。

<Location /svn>
  DAV svn
  SVNPath /var/svn/repos
  SVNMasterURI http://master.example.com/svn
  …
</Location>

<Location /svn-proxy-sync>
  DAV svn
  SVNPath /var/svn/repos
  Order deny,allow
  Deny from all
  # Only let the server's IP address access this Location:
  Allow from 10.20.30.40
  …
</Location>

$ svnsync init http://slave1.example.com/svn-proxy-sync file:///var/svn/repos
Copied properties for revision 0.
$ svnsync init http://slave2.example.com/svn-proxy-sync file:///var/svn/repos
Copied properties for revision 0.
$ svnsync init http://slave3.example.com/svn-proxy-sync file:///var/svn/repos
Copied properties for revision 0.

# Perform the initial replication

$ svnsync sync http://slave1.example.com/svn-proxy-sync
Transmitting file data ....
Committed revision 1.
Copied properties for revision 1.
Transmitting file data .......
Committed revision 2.
Copied properties for revision 2.
…

$ svnsync sync http://slave2.example.com/svn-proxy-sync
Transmitting file data ....
Committed revision 1.
Copied properties for revision 1.
Transmitting file data .......
Committed revision 2.
Copied properties for revision 2.
…

$ svnsync sync http://slave3.example.com/svn-proxy-sync
Transmitting file data ....
Committed revision 1.
Copied properties for revision 1.
Transmitting file data .......
Committed revision 2.
Copied properties for revision 2.
…

#!/bin/sh
# Post-commit script to replicate newly committed revision to slaves

svnsync sync http://slave1.example.com/svn-proxy-sync > /dev/null 2>&1 &
svnsync sync http://slave2.example.com/svn-proxy-sync > /dev/null 2>&1 &
svnsync sync http://slave3.example.com/svn-proxy-sync > /dev/null 2>&1 &

#!/bin/sh
# Post-revprop-change script to replicate revprop-changes to slaves

REV=${2}
svnsync copy-revprops http://slave1.example.com/svn-proxy-sync ${REV} > /dev/null 2>&1 &
svnsync copy-revprops http://slave2.example.com/svn-proxy-sync ${REV} > /dev/null 2>&1 &
svnsync copy-revprops http://slave3.example.com/svn-proxy-sync ${REV} > /dev/null 2>&1 &

Apache 作为强大的 Web 服务器在其作用中提供的许多功能也可以用来增强 Subversion 的功能或安全性。Subversion 客户端能够使用 SSL（安全套接字层，前面已讨论过）。如果您的 Subversion 客户端构建为支持 SSL，它可以使用 https:// 访问您的 Apache 服务器，并享受高质量的加密网络会话。

同样有用的是 Apache 和 Subversion 关系的其他功能，例如指定自定义端口（而不是默认的 HTTP 端口 80）或 Subversion 存储库应通过其访问的虚拟域名，或通过 HTTP 代理访问存储库。

最后，由于 mod_dav_svn 正在使用 WebDAV/DeltaV 协议的子集，因此可以通过第三方 DAV 客户端访问存储库。大多数现代操作系统（Win32、OS X 和 Linux）都具有将 DAV 服务器作为标准网络 “共享文件夹” 挂载的内置功能。这是一个复杂的话题，但在实现后也很奇妙。有关详细信息，请阅读 附录 C，WebDAV 和自动版本控制。

请注意，可以对 mod_dav_svn 进行许多其他小的调整，这些调整过于晦涩难懂，无法在本节中提及。有关 mod_dav_svn 响应的所有 httpd.conf 指令的完整列表，请参见 名为“指令”的部分。