Nginx访问控制

于 2024-06-21 00:48:22 发布
阅读量882 收藏 25
点赞数 23
分类专栏: Nginx 文章标签: nginx 访问控制 基于IP访问控制 基于用户信任访问控制
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Lzcsfg/article/details/139844738
版权

 

目录

一、nginx 访问控制模块

二、基于IP的访问控制

配置语法

allow 指令

deny 指令

注意事项

示例: 

在 http 块中进行配置

在 server 块中进行配置

在 location 块中进行配置

limit_except 指令 

示例配置

示例 1:仅允许 GET 方法,其他方法需要 IP 控制

示例 2:允许 GET 和 POST 方法,其他方法需要 IP 控制 

局限性

解决方法

real_ip 模块的配置

示例配置

combined 日志格式

综合示例

三、基于用户的信任登录

auth_basic 和 auth_basic_user_file

1. auth_basic

2. auth_basic_user_file

配置示例

关键点总结

局限性

解决方法

JWT(JSON Web Token)认证

1. 安装 Nginx 的 nginx-http-auth-jwt 模块

2. 配置 Nginx

配置语法

示例配置

OAuth

1. 使用 OAuth 代理

2. 配置 Nginx

示例配置

一、nginx 访问控制模块

(1)基于IP的访问控制:http_access_module (2)基于用户的信任登录:http_auth_basic_module

二、基于IP的访问控制

配置语法

基于 IP 的访问控制是 Web 服务器安全管理中的一项重要功能,可以用来允许或拒绝来自特定 IP 地址或 IP 地址范围的访问。在 Nginx 中,这种控制通常是通过 allow 和 deny 指令来实现的,这些指令可以在 Nginx 的配置文件中的 httpserver 或 location 上下文中使用。

 

allow 指令

语法

allow address | CIDR | unix: | all;
  • address 可以是一个具体的 IP 地址,如 192.168.1.101
  • CIDR 表示地址段,如 192.168.1.0/24
  • unix: 表示允许所有通过 Unix 套接字的请求。
  • all 表示允许来自任何 IP 地址的请求。

默认值:默认情况下,Nginx 没有设置任何 allow 指令。

可配置区域:可以在 httpserverlocationlimit_except 中使用。

 

 

deny 指令

语法

deny address | CIDR | unix: | all;
  • 此语法与 allow 指令类似,用于拒绝特定的 IP 地址或地址段等的访问。

默认值:默认情况下,Nginx 没有设置任何 deny 指令。

可配置区域:可以在 httpserverlocationlimit_except 中使用。

 

注意事项

  1. 指令顺序:Nginx 检查 allow 和 deny 指令的顺序很重要。它会按顺序检查每个指令直到找到匹配项为止。建议的做法是先放置 allow 指令,然后再放置 deny 指令。

  2. CIDR 表示法:可以使用 CIDR 表示法来指定一个 IP 地址段,例如 192.168.1.0/24,这表示允许或拒绝来自该子网的所有请求。

  3. 多个 allow 和 deny 指令:你可以使用多个 allow 或 deny 指令来定义复杂的访问控制策略。

  4. 指令的生效范围:这些指令可以在 http、server 或 location 三种不同的配置块中使用,也可以和limit_except 指令配合使用,意味着可以根据需要在全局、特定虚拟主机或特定路径上施加访问控制。

 

示例: 

http 块中进行配置

这种配置会影响所有服务器块中的请求。

http {
    # 允许特定的 IP 地址访问
    allow 192.168.1.101;
    allow 192.168.1.201;

    # 拒绝所有其他 IP 地址访问
    deny all;

    server {
        listen 80;
        server_name example.com;

        location / {
            # 其他配置指令
            ...
        }
    }
}
server 块中进行配置

这种配置会影响特定的服务器块中的请求。

server {
    listen 80;
    server_name example.com;

    # 允许特定的 IP 地址访问
    allow 192.168.1.101;
    allow 192.168.1.201;

    # 拒绝所有其他 IP 地址访问
    deny all;

    location / {
        # 其他配置指令
        ...
    }
}
location 块中进行配置

这种配置会影响特定 URL 路径的请求。

server {
    listen 80;
    server_name example.com;

    location /admin {
        # 允许特定 IP 地址访问
        allow 192.168.1.101;
        allow 192.168.1.201;

        # 拒绝所有其他 IP 地址访问
        deny all;

        # 处理请求的其他指令
        ...
    }

    location / {
        # 其他配置指令
        ...
    }
}

limit_except 指令 

语法

limit_except method ... {
    # 允许和拒绝指令
}

配置上下文

  • location
示例配置

以下示例展示了如何在 limit_except 块中使用 allowdeny 指令,基于 IP 地址限制对特定 HTTP 方法的访问:

示例 1:仅允许 GET 方法,其他方法需要 IP 控制
server {
    listen 80;
    server_name example.com;

    location /admin {
        # 允许所有 IP 地址进行 GET 请求
        limit_except GET {
            # 允许特定 IP 地址进行非 GET 请求
            allow 192.168.1.101;
            allow 192.168.1.201;

            # 拒绝所有其他 IP 地址进行非 GET 请求
            deny all;
        }

        # 处理请求的其他指令
        ...
    }

    location / {
        # 其他配置指令
        ...
    }
}

 在这个示例中,只有 IP 地址 192.168.1.101192.168.1.201 可以进行非 GET 请求,所有其他 IP 地址只能进行 GET 请求。

 

示例 2:允许 GET 和 POST 方法,其他方法需要 IP 控制 
server {
    listen 80;
    server_name example.com;

    location /secure {
        # 允许所有 IP 地址进行 GET 和 POST 请求
        limit_except GET POST {
            # 允许特定 IP 地址进行非 GET 和 POST 请求
            allow 192.168.1.101;
            allow 192.168.1.201;

            # 拒绝所有其他 IP 地址进行非 GET 和 POST 请求
            deny all;
        }

        # 处理请求的其他指令
        ...
    }

    location / {
        # 其他配置指令
        ...
    }
}

在这个示例中,只有 IP 地址 192.168.1.101 和 192.168.1.201 可以进行非 GET 和 POST 请求,所有其他 IP 地址只能进行 GET 和 POST 请求。

 

关键点

  • limit_except 指令:用于限制除指定方法之外的所有方法。
  • allow 和 deny 指令:在 limit_except 块中使用,以基于 IP 地址控制对特定方法的访问。
  • 配置上下文limit_except 指令只能在 location 块中使用。

局限性

remote_addr只能记录上一层与服务器直接建立连接的IP地址,若中间有代理,则记录的是代理的IP地址。

http_x_forwarded_for可以记录每一层级的IP。

 

解决方法

(1)采用别的HTTP头信息控制访问,如HTTP_X_FORWARD_FOR(无法避免被改写)

(2)结合geo模块

(3)通过HTTP自定义变量传递

 

 

在 Nginx 中,通过 remote_addrhttp_x_forwarded_for 来处理客户端 IP 地址时,需要注意这些细节。

  • remote_addr:记录与 Nginx 服务器直接建立连接的上一层的 IP 地址。如果客户端通过代理访问 Nginx,remote_addr 会记录代理服务器的 IP 地址,而不是客户端的真实 IP 地址。
  • http_x_forwarded_for:记录每一级代理服务器的 IP 地址,通常由代理服务器添加到请求头中,包含客户端的真实 IP 地址和经过的每一个代理的 IP 地址。

为了准确获取客户端的真实 IP 地址,可以使用 Nginx 的 real_ip 模块,该模块可以将 http_x_forwarded_for 头中的第一个 IP 地址(即客户端的真实 IP 地址)设置为 $remote_addr

real_ip 模块的配置

语法

  • set_real_ip_from: 指定哪些 IP 地址(通常是代理服务器的 IP 地址)应该被信任。
  • real_ip_header: 指定用于替换 $remote_addr 的头字段,通常是 X-Forwarded-For
示例配置

假设代理服务器的 IP 地址是 192.168.1.1192.168.1.2,并且这些服务器会在请求头中添加 X-Forwarded-For 字段。

http {
    # 允许 Nginx 处理这些代理服务器发来的请求
    set_real_ip_from 192.168.1.1;
    set_real_ip_from 192.168.1.2;

    # 指定 X-Forwarded-For 头字段用于获取真实的客户端 IP
    real_ip_header X-Forwarded-For;

    server {
        listen 80;
        server_name example.com;

        location / {
            # 记录日志时使用 $remote_addr 和 $http_x_forwarded_for
            access_log /var/log/nginx/access.log combined;

            # 其他配置指令
            ...
        }
    }
}

combined 日志格式

默认情况下,combined 日志格式已经包含 $remote_addr$http_x_forwarded_for,这在标准的 Nginx 配置文件中是这样的:

log_format combined '$remote_addr - $remote_user [$time_local] "$request" '
                    '$status $body_bytes_sent "$http_referer" '
                    '"$http_user_agent" "$http_x_forwarded_for"';

在使用上述配置后,$remote_addr 将包含客户端的真实 IP 地址,而不再是代理服务器的 IP 地址。

综合示例

如下配置示例,展示了如何使用 real_ip 模块来获取客户端的真实 IP 地址,并在访问日志中记录这些信息。

 

http {
    # 允许 Nginx 处理这些代理服务器发来的请求
    set_real_ip_from 192.168.1.1;
    set_real_ip_from 192.168.1.2;

    # 指定 X-Forwarded-For 头字段用于获取真实的客户端 IP
    real_ip_header X-Forwarded-For;

    # 定义日志格式
    log_format combined '$remote_addr - $remote_user [$time_local] "$request" '
                        '$status $body_bytes_sent "$http_referer" '
                        '"$http_user_agent" "$http_x_forwarded_for"';

    server {
        listen 80;
        server_name example.com;

        location / {
            # 记录访问日志
            access_log /var/log/nginx/access.log combined;

            # 其他配置指令
            ...
        }
    }
}

 通过以上配置,可以确保 Nginx 记录的 $remote_addr 是客户端的真实 IP 地址,即使请求通过多个代理服务器。

 

三、基于用户的信任登录

auth_basic 和 auth_basic_user_file

auth_basic 和 auth_basic_user_file 是 Nginx 提供的两个指令,用于实现基本的 HTTP 认证。这一认证机制允许网站管理员设置一个简单的安全层,要求用户在访问特定资源之前输入用户名和密码。

1. auth_basic

auth_basic 指令用来开启或关闭基本的 HTTP 认证,并定义用于认证请求的提示信息(例如:“请输入用户名和密码”)。

语法

auth_basic string | off;
  • string 指的是在登录提示框中显示的消息文字。当用户尝试访问受保护的内容时,这个字符串会显示在登录窗口上,通常是用来提示用户该区域需要认证。
  • off 用于关闭认证。

默认值auth_basic off;

上下文:可以在 httpserverlocationlimit_except 中使用。

 

2. auth_basic_user_file

auth_basic_user_file 指令指定一个文件位置,该文件包含认证所需的用户名和密码。密码文件需要使用 htpasswd 工具(通常随 Apache HTTP 服务器或 Nginx 附带)来创建。

语法

auth_basic_user_file file;

file 是存储用户名和加密密码信息的文件路径。

默认值:默认不设置。

上下文:可以在 httpserverlocationlimit_except 中使用。

 

配置示例

下面的例子展示了如何为位于 /secure/ 路径的内容设置基本 HTTP 认证:

 

location /secure/ {
    auth_basic "Restricted Content";
    auth_basic_user_file /etc/nginx/conf.d/.htpasswd;
}

在这个示例中,任何尝试访问 /secure/ 路径下内容的用户都将看到一个登录提示,提示信息为 “Restricted Content”。他们必须输入有效的用户名和密码,这些凭据会与 /etc/nginx/conf.d/.htpasswd 文件中存储的凭据进行比对。只有成功匹配的用户才能访问该路径下的内容。

创建密码文件

#htpasswd 是开源 http 服务器 apache httpd 的一个命令工具,用于生成 http 基本认证的密码文件 
yum install -y httpd-tools

可以使用 htpasswd 命令来创建或更新密码文件。例如,要为用户 user1 添加或更新密码,可以使用以下命令:

htpasswd -c /etc/nginx/conf.d/.htpasswd user1

请注意,-c 选项是用于创建新文件。如果文件已经存在,并且你只想添加新用户或更新现有用户的密码,不要使用 -c 选项。

 

http 块中进行配置 

这将影响所有虚拟主机和所有位置

http {
    auth_basic "Restricted Area";
    auth_basic_user_file /etc/nginx/.htpasswd;

    server {
        listen 80;
        server_name example.com;

        location / {
            # 其他配置指令
            ...
        }
    }
}

server 块中进行配置 

这将影响特定的虚拟主机。

server {
    listen 80;
    server_name example.com;

    auth_basic "Restricted Area";
    auth_basic_user_file /etc/nginx/.htpasswd;

    location / {
        # 其他配置指令
        ...
    }
}

location 块中进行配置

这将影响特定的 URL 路径。 

server {
    listen 80;
    server_name example.com;

    location /admin {
        auth_basic "Restricted Area";
        auth_basic_user_file /etc/nginx/.htpasswd;

        # 其他配置指令
        ...
    }

    location / {
        # 其他配置指令
        ...
    }
}

 

limit_except 块中进行配置

这将影响除指定方法之外的所有方法。

 

server {
    listen 80;
    server_name example.com;

    location /admin {
        limit_except GET {
            auth_basic "Restricted Area";
            auth_basic_user_file /etc/nginx/.htpasswd;
        }

        # 其他配置指令
        ...
    }

    location / {
        # 其他配置指令
        ...
    }
}
关键点总结
  • auth_basic:启用或禁用基本身份验证,接受一个字符串参数作为提示信息或者 off
  • auth_basic_user_file:指定包含用户名和密码的文件。
  • 配置上下文:这两个指令可以在 httpserverlocationlimit_except 块中使用。

通过以上配置示例,可以在不同的级别和上下文中灵活地启用基本身份验证,保护 Nginx 服务器上的资源。

 

局限性

(1)用户信息依赖文件方式

(2)操作管理机械,效率低下

解决方法

(1)Nginx结合LUA实现高效验证

(2)Nginx和LDAP打通,利用nginx-auth-ldap模块

(3)Nginx只做中间代理,具体认证交给应用。

 

 

JWT(JSON Web Token)认证

JWT 是一种更现代的认证方法,可以更灵活地控制用户的访问权限。这里假设你已经有一个生成和验证 JWT 的服务。

1. 安装 Nginx 的 nginx-http-auth-jwt 模块

首先需要一个支持 JWT 认证的 Nginx 模块。可以使用 nginx-http-auth-jwt 模块。

2. 配置 Nginx

在 Nginx 配置文件中使用 auth_jwtauth_jwt_key_file 指令来启用 JWT 认证。

配置语法
auth_jwt "string";
auth_jwt_key_file file;
auth_jwt_alg HS256 | HS512 | RS256;
示例配置
http {
    server {
        listen 80;
        server_name example.com;

        location / {
            # 启用 JWT 认证
            auth_jwt "Restricted Area";
            auth_jwt_key_file /etc/nginx/jwt_key.pub;
            auth_jwt_alg RS256;

            # 其他配置指令
            ...
        }
    }
}

在这个示例中,访问 example.com 时,Nginx 会检查请求头中的 JWT,并根据配置验证其有效性。

OAuth

OAuth 是一种开放标准的授权协议,允许第三方应用在不暴露用户凭据的情况下获取用户的授权。

1. 使用 OAuth 代理

通常,是使用一个 OAuth 代理(如 oauth2_proxy)与 Nginx 集成。

2. 配置 Nginx

在 Nginx 配置文件中使用反向代理指令将请求转发给 OAuth 代理。

示例配置
server {
    listen 80;
    server_name example.com;

    location /oauth2/ {
        proxy_pass http://127.0.0.1:4180;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Scheme $scheme;
        proxy_connect_timeout 1;
        proxy_send_timeout 30;
        proxy_read_timeout 30;
    }

    location / {
        auth_request /oauth2/auth;
        error_page 401 = /oauth2/sign_in;

        proxy_pass http://backend;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Scheme $scheme;
    }
}

 在这个示例中,/oauth2/ 路径处理 OAuth 代理请求,主路径 / 受 OAuth 认证保护。

ZZDICT
关注
  • 23
    点赞
  • 25
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【linux】Nginx服务常用扩展功能:权限控制Allow,Deny、用户认证Auth_user、连接限制、请求限制
走向CTO的路上...
03-27 785
Nginx提供了许多常用的扩展功能,包括权限控制、用户认证、连接限制和请求限制。这只是一个简单的示例,实际应用中应该使用更安全和复杂的认证方式,例如使用数据库存储用户凭据信息,使用哈希函数对密码进行加密等。等指令,可以限制来自客户端的请求速率和请求/响应的大小,防止过多的请求影响服务器的性能或导致资源耗尽。这些指令可以限制来自客户端的请求速率,以及限制请求和响应的大小,以保护服务器免受恶意攻击和滥用。指令,可以要求用户提供用户名和密码,只有经过身份验证的用户才能访问受保护的资源。
nginx中deny和allow详解
sinat_24354307的博客
08-21 9126
nginx中deny和allow详解
nginx访问控制 —— deny_allow
qq_34953582的博客
09-06 1682
nginx访问控制 —— deny_allow
Nginx 限制访问 - 限制对代理TCP资源的访问
kikajack的博客
02-20 6619
原文地址本节提供了对基于 TCP 通信的数据库或 media 服务器的访问限制方案。 访问可以通过 IP 地址,同时连接数量或带宽进行限制。1. 通过 IP 地址限制访问Nginx 可以基于指定的客户端 IP 地址或地址段允许或拒绝访问。在 stream 上下文或 server 块中使用 allow 或 deny 指令可以允许或拒绝访问:stream { ... server {
如何给Nginx配置访问IP白名单
最新发布
lxw1844912514的博客
09-26 1万+
如果想增加允许访问IP范围,例如10.10.10.0~10.10.10.255,需要使用CIDR格式表示你的IP范围,在Nginx中默认仅允许IP地址和CIDR格式,CIDR转IPv4网站:https://www.ipaddressguide.com/cidr。给的,将需要做301跳转的IP,直接写到/tmp/ip文件中,支持网段,一行一个,添加后不需要重启nginx,即时生效。不确定或者不能访问外网的话,就在nginx的报错日志里找,logs/error.log,能找到访问nginxIP
nginx访问控制
01-20
准备两台带有yum安装的nginx的虚拟机,一台作为代理服务器,一台作为真实服务器。 192.168.13.133 真实服务器 192.168.13.129 代理服务器 2.配置基本的限流 “流量限制”配置两个主要的指令,limit_req_zone和limit...
nginx访问控制的实现示例
09-29
以上就是Nginx访问控制的一些常见实现方式,通过灵活配置,可以有效地保护服务器资源,提高网络安全,并提供个性化的访问策略。请注意,配置时要根据实际需求和安全策略进行调整,并定期检查和更新这些设置,以应对...
Nginx访问控制与参数调优的方法
09-29
一、Nginx访问控制 1. IP限制: 可以使用`allow`和`deny`指令来控制哪些IP地址可以访问Nginx服务。例如,允许192.168.1.0/24网段的IP访问: ``` allow 192.168.1.0/24; deny all; ``` 2. 用户认证: Nginx...
nginx访问控制的两种方法
09-30
主要介绍了关于nginx访问控制的两种方法,一种是基于Basic Auth认证,另一种是基于IP访问控制,文中介绍的非常详细,需要的朋友可以参考借鉴,下面来一起看看吧。
Nginx-深入剖析NginxStatus
代码的知行者
08-28 2559
NginxStatus是一个实用的状态模块,可以用来监控服务器的状态、统计网站流量和请求情况、自动热备和检测Nginx服务状态。开启NginxStatus只需要简单的配置,即可实现以上功能。
Nginx访问控制详解
兮动人
12-06 815
1. 访问控制 访问控制是网络安全防范和保护的主要策略,其任务是保证网络资源不被非法访问Nginx 作为 Web 服务器的后起之秀,也提供了访问控制的功能。它可以根据实际需求,对用户可以访问和禁止的目录进行限制。下面将对 Nginx 提供的权限控制指令以及典型的 应用进行详细讲解 。 1.1 权限控制指令 Nginx 中提供了两个用于配置访问权限控制的指令,分别为 allow 和 deny。 从其名称就可以看出, allow 用于设置允许访问的权限、 deny 用于设置禁止访问的权限 。 在使用
Nginx配置限制IP访问
qq_37915839的博客
04-22 3819
Nginx配置限制IP访问 雪夜留痕 2019-04-18 16:09:58 19334 收藏 25 分类专栏: linux 架构广场 文章标签: nginx ip 屏蔽 限制 版权 Nginx配置限制IP访问 有时候我们需要针对屏蔽某些恶意的IP访问我们的网站,或者限制仅仅某些白名单IP才能访问我们的网站。这时候我们就可以在nginx中通过简单的配置来达到目的。 相关配置语句 屏蔽单个ip访问 格式: deny ip; deny 123.68.23.5; 1 2 允许单个ip访问 格式: allow
nginx allow 多个ip & ipv4的网段表示方法解析
热门推荐
senlin1202的博客
03-24 2万+
单看nginx模块名ngx_http_access_module,很多人一定很陌生,但是deny和allow相比没一个人不知道的,实际上deny和allow指令属于ngx_http_access_module.我们想控制某个uri或者一个路径不让人访问,在nginx就得靠它了。 nginx访问控制模块语法很简单,至少比apache好理解,apache的allow和deny的顺序让很多初学者
Nginx 跨域设置 Access-Control-Allow-Origin 无效的解决办法
wei_lanSe的博客
10-27 1万+
if ($request_method = 'OPTIONS') { add_header 'Access-Control-Allow-Origin' '*'; add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS';
Nginx实现访问控制
RAB
09-27 1943
Nginx实现访问控制
nginx-status开启及参数说明
摘取天上星
05-06 1万+
利用nginx-status配置可以用网页的形式查看nginx服务器的连接数、请求数等情况。,下面来介绍下如何配置nginx-status页面 1、创建perl脚本pwd.pl,作为nginx basic auth模块的密码生成器,代码如下 1 #!/usr/bin/perl 2 use strict;
Nginx域名访问的白名单配置
wpxxs的博客
11-26 904
Nginx域名访问的白名单配置 设置网站访问只对某些ip开放,其他ip的客户端都不能访问。可以通过下面四种方法来达到这种效果: 1)针对nginx域名配置所启用的端口(比如80端口)在iptables里做白名单,比如只允许100.110.15.16、100.110.15.17、100.110.15.18访问. 但是这样就把nginx的所有80端口的域名访问都做了限制,范围比较大! [root@china ~]# vim /etc/sysconfig/iptables ...... -A INPUT
nginx安装lua、jwt模块,通过lua验证jwt实现蓝绿发布样例
zzhongcy的专栏
09-20 362
lua-nginx-module-0.10.22.tar.gz # 0.10.16 以后都需要 lua-resty-core和lua-resty-lrucache。luajit2-2.1-20220411.tar.gz #luajit官网存在一定的坑,下载openresty的优化版本。将jwttoken.lua放到nignx所在服务器的/usr/local/lua_core/lib/lua/目录下。--1-按员工code蓝绿,2-按部门id蓝绿,3-按ip蓝绿。修改Makefile,指定luajit。
Nginx访问限制配置
独孤小标的博客
01-17 6229
Nginx访问限制配置nginx访问限制可以基于两个方面,一个是基于ip访问控制,另一个是基于用户信任登陆控制下面我们将对这两种方法逐个介绍基于IP访问控制介绍: 可以通过配置基于ip访问控制,达到让某些ip能够访问,限制哪些ip不能访问的效果这是允许 访问配置方法配置语法:allow address | CIDR | unix | all;默认配置:没有配置配置路径:http、serv
nginx 访问控制
07-27
Nginx可以通过访问控制列表(ACL)来限制对特定资源的访问。ACL可以基于IP地址、用户代理、请求方法等条件进行配置。以下是一些常用的Nginx访问控制配置示例: 1. 基于IP地址的访问控制: ```nginx location / { deny 192.168.1.1; allow 192.168.1.0/24; allow 10.0.0.0/16; deny all; } ``` 上述配置中,拒绝了IP地址为192.168.1.1的访问允许IP地址段192.168.1.0/24和10.0.0.0/16的访问,其他IP地址将会被拒绝。 2. 基于用户代理的访问控制: ```nginx if ($http_user_agent ~* (badbot|spider)) { return 403; } ``` 上述配置中,如果请求中的User-Agent头部包含"badbot"或"spider"关键词,则返回403禁止访问。 3. 基于请求方法访问控制: ```nginx if ($request_method !~ ^(GET|POST|HEAD)$) { return 405; } ``` 上述配置中,如果请求方法不是GET、POST或HEAD,则返回405方法允许。 需要注意的是,使用if语句进行访问控制可能会导致性能问题,因此建议在适当的情况下使用更高效的方式,如使用Nginx模块进行访问控制。此外,还可以使用第三方模块如ngx_http_geoip_module来实现更复杂的访问控制策略。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值