Nginx--访问控制（访问控制模块、基于IP/用户的访问控制）

前言：本博客仅作记录学习使用，部分图片出自网络，如有侵犯您的权益，请联系删除

一、Nginx访问控制模块

（1）基于IP的访问控制：http_access_module

（2）基于用户的信任登录：http_auth_basic_module

二、基于IP的访问控制

1、配置语法

 Syntax：allow address | CIDR | unix: | all;
 default：默认无
 Context：http，server，location，limit_except
 ​
 Syntax：deny address | CIDR | unix: | all;
 default：默认无
 Context：http，server，location，limit_except

2、配置测试

 server {
 listen 80;
 server_name localhost;
 location ~ ^/admin {
   root /home/www/html;
   index index.html index.hml;
   deny 10.0.0.2;
   allow all;
   }
 }

如果先允许访问，在定义拒绝访问。那么拒绝访问不生效。测试访问：这里使用10.0.0.1的主机浏览器访问：

在使用10.0.0.3的主机访问：显示 403 Forbidden

 [root@centos-2 html]# curl 10.0.0.2/admin
 <html>
 <head><title>403 Forbidden</title></head>
 <body>
 <center><h1>403 Forbidden</h1></center>
 <hr><center>nginx/1.26.1</center>
 </body>
 </html>

当然也可以反向配置，同时也可以使用IP网段的配置方式，如 allow 192.168.1.0/24; ，表示满足此网段的IP都可以访问

3、指定location拒绝所有请求

如果你想拒绝某个指定URL地址的所有请求，而不是仅仅对其限速，只需要在 location 块中配置 deny all指令：

 server {
   listen 80;
   server_name localhost;
   location /foo.html {
     root /home/www/html;
     deny all;
   }
 }

4、局限性

remote_addr 只能记录上一层与服务器直接建立连接的IP地址，若中间有代理，则记录的是代理的IP地址。

http_x_forwarded_for 可以记录每一层级的IP

5、解决方法

• 采用别的HTTP头信息控制访问，如HTTP_X_FORWARD_FOR（无法避免被改写）
• 结合geo模块

• 通过HTTP自定义变量传递

三、基于用户的信任登录

1、配置语法

 Syntax：auth_basic string | off;
 default：auth_basic off;
 Context：http，server，location，limit_except
 ​
 Syntax：auth_basic_user_file file;
 default：默认无
 Context：http，server，location，limit_except
 file：存储用户名密码信息的文件

2、配置示例

改名access_mod.conf为auth_mod.conf：

 server {
   listen 80;
   server_name localhost;
   location ~ ^/admin {
     root /home/www/html;
     index index.html index.hml;
     auth_basic "Auth access test!";
     auth_basic_user_file /etc/nginx/auth.conf;
   }
 }

auth_basic 不为 off ，开启登录验证功能， auth_basic_user_file 加载账号密码文件

3、建立口令文件

htpasswd 是开源 http 服务器 apache httpd 的一个命令工具，用于生成 http 基本认证的密码文件

 [root@centos admin]# yum install -y httpd-tools
 [root@centos admin]# htpasswd -cm /etc/nginx/auth_conf user10
 [root@centos admin]# htpasswd -m /etc/nginx/auth_conf user20
 Adding password for user user20
 [root@centos admin]#  cat /etc/nginx/auth_conf
 user10:$apr1$G7i1Qnsy$cZsrU8kUMlJKSErIEAPcK1
 user20:$apr1$jkeEnzMU$M5QjkgaCOBjrzRzMfmky31

4、测试访问

5、局限性

• 用户信息依赖文件方式

• 操作管理机械，效率低下

6、解决办法

• Nginx结合LUA实现高效验证
• Nginx和LDAP打通，利用nginx-auth-ldap模块

• Nginx只做中间代理，具体认证交给应用