如何搭建Nginx+ElasticSearch实现用户认证并允许跨域CORS调用

最新推荐文章于 2024-07-30 17:02:59 发布
最新推荐文章于 2024-07-30 17:02:59 发布
阅读量3k 收藏 6
点赞数
分类专栏: 技术日常 文章标签: 技术日常
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cjwcui/article/details/79563296
版权
本文档详细介绍了如何通过Nginx实现ElasticSearch的基本用户认证,以及配置CORS允许跨域调用。内容包括ElasticSearch的配置,Nginx的安装与密码文件生成,Nginx配置文件编写,以及CORS的原理和预检请求的交互过程。同时,指出了在设置OPTIONS方法时不进行用户认证以确保CORS预检请求的成功。
摘要由CSDN通过智能技术生成

ElasticSearch默认没有用户认证,任何人都能访问,这样很不安全,官方的安全解决方案Xpack是收费的,如果只想实现简单的用户认证,可以选择加入Nginx实现基本的用户认证即可。同时因为前端程序需要调用ElasticSearch的REST快速查询数据,所以需要保证ElasticSearch的REST API支持跨域用户调用。

ElasticSearch配置

将ElasticSearch设置为只能本地访问,只需要在配置文件elasticsearch.yaml文件里保证下一行是注释掉的。ElasticSearch默认配置就是只能localhost访问。

#network.host: 0.0.0.0 

同时加入CORS的支持,添加如下字段:

http.cors.enabled : true
http.cors.allow-origin : "*" 
http.cors.allow-methods : OPTIONS, HEAD,GET, POST, PUT, DELETE
http.cors.allow-headers:X-Requested-With,X-Auth-Token,Content-Type,Content-Length,Authorization

注意:

  • http.cors.allow-origin : "*" ,表示允许来自任意源站点的访问,如果想进一步限制,可以设成具体的站点列表,用逗号分隔,比如“a.com, b.com‘’。
  • http.cors.allow-methods定义了允许跨域调用的http方法,只允许REST查询的话,只需要OPTIONS,HEAD,GET即可
  • http.cors.allow-headers定义允许跨域调用的头字段。

Nginx安装配置

生成passwords文件

在ElasticSearch的同一台机器上安装Nginx,安装很简单。因为要在Nginx端作简单的用户认证,需要先生成密码文件(我的工作目录是/home/software/nginx):

htpasswd -c passwords <username>

按提示输入密码即可,当前目录下会生成一个passwords文件,即我们之后让Nginx使用的passwords文件。

注意:也可用openssl来生成passwords文件,不过我在ubuntu 14.0.2上试,发现不好用,认证总是说密码不对,用htpasswd没问题。

Nginx配置

从系统自带配置文件(/etc/nginx/nginx.conf)copy一份出来,自定义自己的nginx_es.conf,如下: 

upstream elasticsearch {

    server 127.0.0.1:9200;

}

location /  {

       //OPTIONS 设置为不用认证,否则CORS的prefight会有问题。其他操作都需要认证。

        limit_except OPTIONS {

                auth_basic "ProtectedElasticsearch";

                auth_basic_user_file passwords;

         }
        proxy_pass http://elasticsearch;
        proxy_redirect off;
    }
  }

启动Nginx

cd /home/software/nginx
nginx -c $PWD/nginx_es.conf

注意:nginx_es.conf和passwords文件必须在同一目录下,因为默认是到配置文件的同目录找passwords文件。

问题debug

如果认证不通过,首先需要查看Nginx的日志,日志地址:/var/log/nginx,access.log和error.log都需要查看。

常用命令

nginx -s stop  快速关闭nginxnginx -
最低0.47元/天 解锁文章
cjwcui
关注
专栏目录
Fliebeat+Kafka+Elasticsearch+Logstash日志分析实战
悦分享
10-08 892
ELK 不是一款软件,而是 Elasticsearch、Logstash 和 Kibana 三种软件产品的首字母缩写。这三者都是开源软件,通常配合使用,而且又先后归于 Elastic.co 公司名下,所以被简称为 ELK Stack。根据 Google Trend 的信息显示,ELK Stack 已经成为目前最流行的集中式日志解决方案。Elasticsearch:分布式搜索和分析引擎,具有高可伸缩、高可靠和易管理等特点。
探索SpringCloud+ES实现高性能全文检索
雾猩CODER的博客
11-15 1145
记录SpringCloud+ES实现高性能全文检索的教程ES搭建:1、下载ES安装包2、解压安装包,并在安装目录的bin目录下执行3、安装对应版本的Kibana4、下载对应的elasticsearch-analysis-ik分词器补充知识:ES集成到Springboot项目: SpringCloud基础框架搭建略过。。 ES搭建: 什么是Elasticsearch? (You know, for search and analysis) Elasticsearch是Elastic Stack核心的分布
elasticsearch+Nginx+django+cas+mysql实现单点登录认证
gwfy007的博客
04-21 1284
elasticsearch+Nginx+django+cas+mysql平台搭建 系统结构功能图: 系统简介: 1.django项目放到了nginx容器中,采用的是nginx+uwsgi的方案。django访问端口5050。 nginx listen 8000端口,访问8000端口会转到5050 端口 2.nginx反向代理elasticsearchelasticsearch...
nginx给kibana、elasticsearch做权限认证
We practice improving every day
09-19 517
最近一直使用logstash+elasticsearch+kibana作日志分析,通过kibana来查看报表的各种panel,但是每次查看都需要拨线上的VPN,比较麻烦,于是就想到用nginx来给kibana和elasticsearch作个权限认证认证成功的效果如下: 呵呵,得瑟下。好了,废话不多说,直接上配置。 1、配置nginx密码:nginx可以为网站或目录甚至特定的文件设...
跨域漏洞处理:Nginx 配置处理 CORS 请求
最新发布
Java小白白的博客
07-30 1107
描述了如何使用 Nginx 配置来处理 CORS 请求,特别是应对非法域名请求的逻辑。这种配置可以帮助应对漏洞扫描或非法域名请求,并提供详细的处理方式。
使用nginx的http验证功能对elasticsearch加密
smallanonymous的博客
12-13 3531
前言 这篇文章是https://www.elastic.co/blog/playing-http-tricks-nginx的部分翻译,对像我这样的小白学习nginxelasticsearch有些许帮助,ps:翻译好难。。。e文好的同学还是去看原文吧。。。 正文 Elasticsearch默认是完全暴露在互联网上的RESTful服务接口。 这样做的好处是:web开发人员可以很快熟悉它的API,很
ElasticSearch 通过nginx做HTTP验证
weixin_30820077的博客
03-19 500
ElasticSearch的设置文件中如果设置了 network.host: 0.0.0.0 则表示ElasticSearch服务是公开的任何ip都可以访问ElasticSearch服务。这样肯定是不安全的。 我们可以通过安装X-Pack这个然间来做对ElasticSearch的登陆验证,但是这个是收费的只可以免费使用30天。 还有一种方法也是我们常用就是使用nginx的反向代...
nginx 跨域访问配置_nginx配置用户访问认证
weixin_39622123的博客
11-29 186
nginx 下,提供了 ngx_http_auth_basic_module 模块实现用户只有输入正确的用户名密码才允许访问web内容。默认情况下,nginx 已经安装了该模块。所以整体的一个过程就是先用第三方工具设置用户名、密码(其中密码已经加过密),然后保存到文件中,接着在 nginx 配置文件中根据之前事先保存的文件开启访问验证。应用案例:辣条心血来潮,不想让他人看见博客的登...
Elasticsearch
weixin_55261016的博客
06-15 719
ELK是包含但不限于Elasticsearch(简称es)、Logstash、Kibana 三个开源软件的组成的一个整体。这三个软件合成ELK。是用于数据抽取(Logstash)、搜索分析(Elasticsearch)、数据展现(Kibana)的一整套解决方案,所以也称作ELK stack。 本课程从分别对三个组件经行详细介绍,尤其是Elasticsearch,因为它是elk的核心。本课程从es底层对文档、索引、搜索、聚合、集群经行介绍,从搜索和聚合分析实例来展现es的魅力。Logstash从内部如何采集
ELK7.4+filebeat+Redis分析nginx服务访问日志
weixin_44766368的博客
10-14 1338
ELK7.4+filebeat+Redis分析nginx服务访问日志 版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。 本文链接: 强行目录 版本控制 版本 作者 日期 修改记录 备注 V1.0 Mr.Wu 2019-10-13 初始创建 一、部署规划 Ip地址 主机名 内存配置 角色 软件版本(...
ElasticSearch未授权访问
打代码的小女孩
11-17 7251
0x00 漏洞描述: Elasticsearch是一款java编写的企业级搜索服务。越来越多的公司使用ELK作为日志分析,启动此服务默认会开放9200端口,可被非法操作数据 0x01 一些利用的URL http://101.198.161.130:9200/_cat/indices/ http://101.198.161.130:9200/_plugin/head/ http://101.198....
elasticsearch未授权访问漏洞怎么在日常的测试中发现
qq_42097777的博客
07-27 2353
一般测试中我们会对目标的地址进行端口扫描,如果扫描到9200端口(ElasticSearch端口(默认9200)。 我们直接访问看到是这个页面,就是存在这种漏洞:
Nginx 配置Kibana和Elasticsearch转发和认证
爱码士的博客
10-29 767
前言 默认的,kibana地址端口为5601,elasticsearch地址端口为9200,有时候不希望展示端口信息。这个时候可以使用nginx完成转发。 配置Kibana 首先需要修改kibana的配置文件kibana.yml添加如下信息 server.basePath: "/kibana" 注意:空格 然后添加location location /kibana/ { auth_basic "kibana"; auth_basic_user_file /etc/nginx/pass_fi
利用nginx增强elasticseach http安全性
08-08 917
背景 最近公司安全检查,elasticsearch http端口处于开放状态,虽然在内网但依然风险很大.解决安全问题的套路基本上有两个:一个是官方的shield;还有一个是search guard.shield需要license,果断放弃.实际考察了一下search guard.东西不错但配置繁琐些,需要生产证书.而且不支持关闭node验证.公司大部分程序是java client开发的,这就
Elasticsearch教程,Elasticsearch安全篇,通过Nginx http basic 限制访问
weixin_34301132的博客
02-15 1104
2019独角兽企业重金招聘Python工程师标准>>> ...
elasticsearch配置文件中http.cors.x字段有哪些用途和用法
zhoudatianchai的专栏
02-24 1450
#是否支持跨域,默认为false http.cors.enabled: false #当设置允许跨域,默认为*,表示支持所有域名,如果我们只是允许某些网站能访问,那么可以使用正则表达式。比如只允许本地地址。 /https?:\/\/localhost(:[0-9]+)?/ http.cors.allow-origin: * #浏览器发送一个“预检”OPTIONS请求,以确定CORS设置。最大年龄定义多久的结果应该缓存。默认为1728000(20天) http.cors.max-age: 1728000 #.
elasticsearch5.x 集群管理工具head插件安装、nginx配置外网访问
kelin_liu的博客
05-27 3047
一、下载安装包 下载Elasticsearch 5.x 下载地址:https://www.elastic.co/downloads/elasticsearch zip和tar格式是各种系统都通用的,解压之后启动Elasticsearch即可。 下载elasticsearch-head 下载地址:https://github.com/mobz/elasticsearch
nginx 反向代理 ElasticSearch es
m0_67390788的博客
04-21 2522
本文讲述如何使用nginx代理kibana 1、更改kibana.yml文件添加前缀 2、nginx添加配置 location /kibana/ { proxy_pass http://127.0.0.1:5601/; rewrite ^/elk/(.*)$ /$1 break; proxy_set_header X-Real-IP $remote_addr; proxy_set_header Host $host:$serve.
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值