ngx_http_auth_basic_module源码解析(基于nginx1.17.9)

最新推荐文章于 2024-05-13 09:34:34 发布
最新推荐文章于 2024-05-13 09:34:34 发布
阅读量336 收藏
点赞数
分类专栏: c语言 nginx 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/THEANARKH/article/details/106747366
版权
c语言 同时被 3 个专栏收录
44 篇文章 3 订阅
订阅专栏
nginx
22 篇文章 3 订阅
订阅专栏
服务器
21 篇文章 0 订阅
订阅专栏

auth_basic模块是nginx中比较简单的模块。地址在http://nginx.org/en/docs/http/ngx_http_auth_basic_module.html。我们通过分析这个模块的代码,不仅知道如何使用,还可以了解到http认证的实现。该模块支持http认证和验证的功能。支持两个配置。

location / {
	// 在浏览器弹框里的提示语
    auth_basic           "hello";
    // 用户输入密码后,以password文件来判断是否正确
    auth_basic_user_file /usr/local/nginx/conf/password;
}

密码文件格式如下

name:password

1 模块使用

我们先看一下使用。该模块对密码格式有一定的要求,具体可参考文档。我们可以在https://tool.lu/htpasswd/网站生成密码,然后粘贴到我们的密码文件。比如我的机器下,密码文件路径是/usr/local/nginx/conf/password。内容是

theanarkh:MTTuFPm3y4m2o

打开浏览器输入服务器地址。查看回包。

这时候浏览器会弹出一个输入用户名密码的弹框。用户输入后,浏览器再次请求服务器。我们看一下请求头

这时候nginx会到password文件去匹配用户输入的用户名和密码。完成验证。

2 模块原理

auth_basic模块是http模块,首先看一下配置

static ngx_command_t  ngx_http_auth_basic_commands[] = {

    { ngx_string("auth_basic"),
      NGX_HTTP_MAIN_CONF|NGX_HTTP_SRV_CONF|NGX_HTTP_LOC_CONF|NGX_HTTP_LMT_CONF
                        |NGX_CONF_TAKE1,
      ngx_http_set_complex_value_slot,
      NGX_HTTP_LOC_CONF_OFFSET,
      offsetof(ngx_http_auth_basic_loc_conf_t, realm),
      NULL },

    { ngx_string("auth_basic_user_file"),
      NGX_HTTP_MAIN_CONF|NGX_HTTP_SRV_CONF|NGX_HTTP_LOC_CONF|NGX_HTTP_LMT_CONF
                        |NGX_CONF_TAKE1,
      ngx_http_auth_basic_user_file,
      NGX_HTTP_LOC_CONF_OFFSET,
      offsetof(ngx_http_auth_basic_loc_conf_t, user_file),
      NULL },

      ngx_null_command
};


static ngx_http_module_t  ngx_http_auth_basic_module_ctx = {
    NULL,                                  /* preconfiguration */
    ngx_http_auth_basic_init,              /* postconfiguration */

    NULL,                                  /* create main configuration */
    NULL,                                  /* init main configuration */

    NULL,                                  /* create server configuration */
    NULL,                                  /* merge server configuration */

    ngx_http_auth_basic_create_loc_conf,   /* create location configuration */
    ngx_http_auth_basic_merge_loc_conf     /* merge location configuration */
};


ngx_module_t  ngx_http_auth_basic_module = {
    NGX_MODULE_V1,
    &ngx_http_auth_basic_module_ctx,       /* module context */
    ngx_http_auth_basic_commands,          /* module directives */
    NGX_HTTP_MODULE,                       /* module type */
    NULL,                                  /* init master */
    NULL,                                  /* init module */
    NULL,                                  /* init process */
    NULL,                                  /* init thread */
    NULL,                                  /* exit thread */
    NULL,                                  /* exit process */
    NULL,                                  /* exit master */
    NGX_MODULE_V1_PADDING
};

了解nginx模块基本原理的同学对上面的代码应该会比较熟悉。这里就不具体分析。我们从nginx初始化流程到用户请求的顺序分析上面的函数。
1 ngx_http_auth_basic_create_loc_conf

static void *
ngx_http_auth_basic_create_loc_conf(ngx_conf_t *cf)
{
    ngx_http_auth_basic_loc_conf_t  *conf;

    conf = ngx_pcalloc(cf->pool, sizeof(ngx_http_auth_basic_loc_conf_t));
    if (conf == NULL) {
        return NULL;
    }

    return conf;
}

该函数代码比较简单,就是创建一个和该模块相关的结构体。

struct {
    ngx_http_complex_value_t  *realm;
    ngx_http_complex_value_t   user_file;
} ngx_http_auth_basic_loc_conf_t

这个结构体就是保存nginx支持的两个配置。该函数在nginx初始化的时候调用,目的是创建保存配置的结构体。
2 注册nginx access阶段的钩子

static ngx_int_t
ngx_http_auth_basic_init(ngx_conf_t *cf)
{
    ngx_http_handler_pt        *h;
    ngx_http_core_main_conf_t  *cmcf;

    cmcf = ngx_http_conf_get_module_main_conf(cf, ngx_http_core_module);

    h = ngx_array_push(&cmcf->phases[NGX_HTTP_ACCESS_PHASE].handlers);
    if (h == NULL) {
        return NGX_ERROR;
    }

    *h = ngx_http_auth_basic_handler;

    return NGX_OK;
}

从代码中我们可以看到该模块是属于nginx 11个阶段的access阶段。即在nginx处理用户请求时,会调用ngx_http_auth_basic_handler函数。

3 解析nginx,保存用户的配置
在nginx启动后,解析到auth_basic,auth_basic_user_file这两个配置时,就保存到ngx_http_auth_basic_loc_conf_t结构体。比如解析和保存auth_basic_user_file配置。

static char *
ngx_http_auth_basic_user_file(ngx_conf_t *cf, ngx_command_t *cmd, void *conf)
{
    ngx_http_auth_basic_loc_conf_t *alcf = conf;

    ngx_str_t                         *value;
    ngx_http_compile_complex_value_t   ccv;

    if (alcf->user_file.value.data) {
        return "is duplicate";
    }

    value = cf->args->elts;

    ngx_memzero(&ccv, sizeof(ngx_http_compile_complex_value_t));
	// 保存用户配置的文件路径
    ccv.cf = cf;
    ccv.value = &value[1];
    ccv.complex_value = &alcf->user_file;
    ccv.zero = 1;
    ccv.conf_prefix = 1;

    if (ngx_http_compile_complex_value(&ccv) != NGX_OK) {
        return NGX_CONF_ERROR;
    }

    return NGX_CONF_OK;
}

4 处理用户请求
该模块的ngx_http_auth_basic_handler是处理用户请求的,我们看一下核心逻辑。

// 解析http请求头中的验证字段
rc = ngx_http_auth_basic_user(r);
// http请求头没有验证头Basic
if (rc == NGX_DECLINED) {
    return ngx_http_auth_basic_set_realm(r, &realm);
 }
 // 有验证字段则,打开nginx.conf里配置的文件,然后读取内容
 fd = ngx_open_file(user_file.data, NGX_FILE_RDONLY, NGX_FILE_OPEN, 0);
 ngx_read_file(&file, buf + left, NGX_HTTP_AUTH_BUF_SIZE - left,offset);
 // 验证用户输入
 ngx_http_auth_basic_crypt_handler(r, &pwd, &realm);

我们首先看ngx_http_auth_basic_user(解析http验证头),然后看ngx_http_auth_basic_crypt_handler(验证http验证头)。最后ngx_http_auth_basic_set_realm(没有http验证头或者校验失败则返回浏览器401和验证头),

ngx_int_t
ngx_http_auth_basic_user(ngx_http_request_t *r)
{
    ngx_str_t   auth, encoded;
    ngx_uint_t  len;
	// 请求头的authorization字段的值,格式Authorization: Basic xxx
    encoded = r->headers_in.authorization->value;
    // 绕过Basic ,指向密码第一个字符和最后一个字符
    encoded.len -= sizeof("Basic ") - 1;
    encoded.data += sizeof("Basic ") - 1;
	// 忽略密码前置空格,后置空格由http解析器处理了
    while (encoded.len && encoded.data[0] == ' ') {
        encoded.len--;
        encoded.data++;
    }
	// auth保存解码后的内容
    auth.len = ngx_base64_decoded_length(encoded.len);
    auth.data = ngx_pnalloc(r->pool, auth.len + 1);
  	// Authorization头的内容是经过了base64编码的,这里decode一下
    if (ngx_decode_base64(&auth, &encoded) != NGX_OK) {
        r->headers_in.user.data = (u_char *) "";
        return NGX_DECLINED;
    }

    auth.data[auth.len] = '\0';
	// 找到第一个冒号,Authorization头的内容格式是user:password
    for (len = 0; len < auth.len; len++) {
        if (auth.data[len] == ':') {
            break;
        }
    }
	// 没有冒号说明是不合法格式
    if (len == 0 || len == auth.len) {
        r->headers_in.user.data = (u_char *) "";
        return NGX_DECLINED;
    }
	// 保存http解析结果,用于后面验证
    r->headers_in.user.len = len;
    r->headers_in.user.data = auth.data;
    r->headers_in.passwd.len = auth.len - len - 1;
    r->headers_in.passwd.data = &auth.data[len + 1];

    return NGX_OK;
}

上面函数就是http Authorization头的解析逻辑,我们从中可以看到http验证的一些实现原理。解析完后就开始验证。

static ngx_int_t
ngx_http_auth_basic_crypt_handler(ngx_http_request_t *r, ngx_str_t *passwd,
    ngx_str_t *realm)
{
    ngx_int_t   rc;
    u_char     *encrypted;
	
    rc = ngx_crypt(r->pool, r->headers_in.passwd.data, passwd->data,
                   &encrypted);
	// 验证成功,则返回ok
    if (ngx_strcmp(encrypted, passwd->data) == 0) {
        return NGX_OK;
    }
	// 否则设置验证头,返回给浏览器
    return ngx_http_auth_basic_set_realm(r, realm);
}

该函数就是从用户配置的文件中,解析出一系列的用户名和密码,然后和浏览器传过来的值对比。如何校验失败或者浏览器没有设置验证头,则nginx返回验证头和401错误码。

static ngx_int_t
ngx_http_auth_basic_set_realm(ngx_http_request_t *r, ngx_str_t *realm)
{
    size_t   len;
    u_char  *basic, *p;
	// 设置http协议回头中的头
    r->headers_out.www_authenticate = ngx_list_push(&r->headers_out.headers);
    
    len = sizeof("Basic realm=\"\"") - 1 + realm->len;

    basic = ngx_pnalloc(r->pool, len);
    p = ngx_cpymem(basic, "Basic realm=\"", sizeof("Basic realm=\"") - 1);
    p = ngx_cpymem(p, realm->data, realm->len);
    *p = '"';

    r->headers_out.www_authenticate->hash = 1;
    ngx_str_set(&r->headers_out.www_authenticate->key, "WWW-Authenticate");
    r->headers_out.www_authenticate->value.data = basic;
    r->headers_out.www_authenticate->value.len = len;

    return NGX_HTTP_UNAUTHORIZED;
}

该函数设置http回包里的验证头。告诉浏览器,需要输入用户名和密码。

总结:ngx_http_auth_basic_module模块实现了http认证和验证的功能,我们通过分析该模块的代码,不仅了解了如何使用nginx,还可以了解到http认证和校验的实现原理。

theanarkh
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
配置nginx身份验证(ngx_http_auth_basic_module)
Bertram的博客
02-22 1174
当我们有某个页面或者目录希望开放给特定用户来看的时候,就需要加上权限验证,这时候有人可能会想到做一套权限系统或者登录系统,但是如果我们仅仅是临时开放,完全没有必要做一套复杂的系统,这时候可是使用nginx自带的ngx_http_auth_basic_module模块,可以非常方便的实现如上的效果. 在对应nginx配置文件中增加如下配置项 location / { auth_basic "closed site"; auth_basic_user_file conf/htpass
Nginx 配置 ngx_http_auth_basic_module 认证访问 Web​​​​​​​
sunsineq的专栏
01-27 635
Nginx 配置 ngx_http_auth_basic_module 认证访问 Web 在互联网分享时代,我们使用Nginx建立了一个网站、一个网络目录;但是有的时候这些东西我只想分享给熟悉的人,不想让其他人访问。虽然现在有很多的开程序,方法可以做到我所有的要求。但是我就是喜欢折腾。现在就利用 Nginxngx_http_auth_basic_module 模块配置一个网页的认证登录。只有输入正确账号和密码才可以访问。如下图,访问网站时提示需要授权; lnmp1.6 的 Nginx 1.1
Nginx安全访问控制』利用Nginx实现账号密码认证登录的最佳实践_何通过前端传递传递nginx验证的账号和密码(2)
最新发布
2401_84967873的博客
05-13 1187
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
Nginx ngx_http_auth_request_module模块鉴权
AstarCloud
11-23 2896
auth_request模块 实现了基于一子请求的结果的客户端的授权。如果子请求返回2xx响应码,则允许访问。如果它返回401或403,则访问被拒绝并显示相应的错误代码。子请求返回的任何其他响应代码都被认为是错误的。使用的也是subrequest进行子请求。
nginx里ngx_http_compile_complex_value和ngx_http_complex_value的初步使用
wwyyxx26的专栏
11-03 2434
以上面的配置块为例,我们要在nginx运行时获取内置变量$arg_key的值,$arg_keyA内置变量表示在http的get请求时的参数名为key的参数,比如请求http://127.0.0.1:8881/wyx?keyA=42,我们要通过ngx_http_compile_complex_value和ngx_http_complex_value来获取keyA的值...,如何通过自定义变量来获取这个值呢
Nginx请求参数解析,auth_request img图片鉴权应用
nalanxiaoxiao2011的博客
10-11 2741
vue中给img的src添加token
官网解读-nginx-ngx_http_auth_basic_module
qq_41904061的博客
07-30 621
Module ngx_http_auth_basic_module Example Configuration(配置举例) Directives auth_basic auth_basic_user_file The ngx_http_auth_basic_module module allows limiting access to resources by validating the use...
ngx_http_proxy_connect_module.zip
06-17
ngx_http_proxy_connect_module是一个针对Nginx服务器的第三方模块,主要功能是支持HTTP代理的"CONNECT"方法。在默认情况下,Nginx仅处理HTTP和HTTPS请求,但不支持通过HTTP代理进行TCP连接,比如SSL/TLS隧道。这个...
ngx_stream_module.so
12-22
nginx1.20.2
ngx_http_dav_ext_module.so
04-12
ngx_http_dav_ext_module.so centos7 nginx 1.18 可以作为模块加载
ngx_http_mytest_module.zip_nginx_world
09-22
在本文中,我们将深入探讨如何进行Nginx的模块二次开发,特别关注“ngx_http_mytest_module.zip_nginx_world”这个示例项目。这个压缩包包含了一个基础的Nginx自定义模块,可以视为模块开发的"Hello, World!"级别...
nginx系列(十五)nginx下启用http_auth_basic
04-23
NULL 博文链接:https://phl.iteye.com/blog/2251771
ngx_devel_kit-0.3.0
07-18
ngx_devel_kit(通常缩写为 NDK)是一个针对Nginx的模块开发工具集,它为构建自定义Nginx模块提供了便利。在Nginx生态系统中,NDK是一个重要的扩展工具,允许开发者利用C语言直接操作Nginx的内部结构,以实现更高级...
nginx用户认证配置( Basic HTTP authentication)及认证原理和实现
热门推荐
我是guyue,guyue就是我O(∩_∩)O
12-28 2万+
nginx_http_auth_basic_module模块实现让访问着,只有输入正确的用户密码才允许访问web内容。web上的一些内容不想被其他人知道,但是又想让部分人看到。nginx的http auth模块以及Apache http auth都是很好的解决方案。 默认情况下nginx已经安装了ngx_http_auth_basic_module模块,如果不需要这个模块,可以加上 --without-http_auth_basic_module 。 nginx basic auth指令 语法: a
nginx ngx_http_auth_basic_module(Basic Authentication)
Claroja
01-18 223
样例 location / { auth_basic "closed site"; auth_basic_user_file conf/htpasswd; } 指令 语法 默认 作用域 描述 auth_basic string ? off; off http, server, location, limit_except 使用HTTP Basi...
Nginx教程:HTTP Auth Basic模块的使用
夏日wei风的博客
07-29 1462
ngx_http_auth_basic_module:该模块使用 HTTP原生的 基本认证方法来保护您的站点或其部分内容,使用用户名和密码进行验证。 配置环境: OS: Ubuntu / Debian 使用场景: RESTful+Tornado 配置方法如下: 1、__实例配置__ 修改ngnix配置文件,添加如下行: location / {  
nginx介绍和码安装
body221的博客
02-29 81
Nginx ("engine x") 是一个高性能的 HTTP 和反向代理服务器,也是一个 IMAP/POP3/SMTP服务器。 Nginx 是由 Igor Sysoev 为俄罗斯访问量第二的 Rambler.ru 站点开发的,第一个公开版本0.1.0发布于2004年10月4日。其将代码以类BSD许可证的形式发布,因它的稳定性、丰富的功能集、示例配置文件和...
nignx http处理(http头缓存控制篇)
huzilinitachi的专栏
04-13 800
设置http头处理结构 typedef struct { ngx_str_t name; //头部键值名称 ngx_uint_t offset; //在结构体中的偏移量 ngx_http_set_header_pt handler; //头部设置处理函数指针 } ...
nginx模块系列之认证请求
weixin_33805743的博客
05-26 216
为什么80%的码农都做不了架构师?>>> ...
ngx_mail_auth_http_module.c
05-20
ngx_mail_auth_http_module.c 是一个 Nginx 的邮件认证模块,它允许通过 HTTP 请求进行邮件认证。具体来说,当客户端尝试使用 SMTP 或 POP3 连接到后端的邮件服务器时,该模块会将认证请求转发到指定的 HTTP 服务器...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值