Nginx學習筆記——訪問控制
訪問控制
(1)基於IP的訪問控制:http_access_module (2)基於使用者的信任登入:http_auth_basic_module
http_access_module
配置語法
Syntax:allow address | CIDR | unix: | all; default:預設無 Context:http,server,location,limit_except
Syntax:deny address | CIDR | unix: | all; default:預設無 Context:http,server,location,limit_except
測試
修改/etc/nginx/conf.d/access_mod.conf
location ~ ^/admin.html {
root /opt/app/code;
deny 192.168.174.1;
allow all;
index index.html index.htm;
}
虛擬機器宿主機IP為192.168.174.1
,虛擬機器IP為192.168.174.132
,故這裡禁止宿主機訪問,允許其他所有IP訪問。
宿主機訪問http://192.168.174.132/admin.html
,顯示403 Forbidden
。
當然也可以反向配置,同時也可以使用IP網段的配置方式,如allow 192.168.174.0/24;
侷限性
remote_addr
只能記錄上一層與伺服器直接建立連線的IP地址,若中間有代理,則記錄的是代理的IP地址。
http_x_forwarded_for
可以記錄每一層級的IP。
解決
(1)採用別的HTTP頭資訊控制訪問,如HTTP_X_FORWARD_FOR(無法避免被改寫) (2)結合geo模組 (3)通過HTTP自定義變數傳遞
http_auth_basic_module
配置語法
Syntax:auth_basic string | off; default:auth_basic off; Context:http,server,location,limit_except
Syntax:auth_basic_user_file file; default:預設無 Context:http,server,location,limit_except file:儲存使用者名稱密碼資訊的檔案。
配置
改名access_mod.conf
為auth_mod.conf
,內容如下:
location ~ ^/admin.html {
root /opt/app/code;
auth_basic "Auth access test!";
auth_basic_user_file /etc/nginx/auth_conf;
index index.html index.htm;
}
auth_basic
不為off
,開啟登入驗證功能,auth_basic_user_file
載入賬號密碼檔案。
測試
侷限性
(1)使用者資訊依賴檔案方式 (2)操作管理機械,效率低下
解決
(1)Nginx結合LUA實現高效驗證 (2)Nginx和LDAP打通,利用nginx-auth-ldap模組 (3)Nginx只做中間代理,具體認證交給應用。