Dostęp do zasobów może być ograniczany przez reguły autoryzacji oparte na uwierzytelnianiu użytkowników albo kontrolę dostępu niezwiązaną z kontami użytkowników. Jeśli określono reguły dostępu niezwiązane z kontami użytkowników, są one stosowane jako pierwsze. Uwierzytelniania dokonuje się tylko w razie potrzeby, aby sprawdzić reguły autoryzacji określone za pomocą dyrektyw Require. Reguły kontroli dostępu i autoryzacji można ograniczyć do wybranych metod HTTP przez umieszczenie ich w blokach <Limit> lub <LimitExcept>.

Kontrolę dostępu można również zaimplementować za pomocą modułu mod_rewrite, a moduł mod_ssl oferuje funkcje kontroli dostępu oparte na protokole SSL.