Nginx http_auth_request_module 统一用户验证权限验证

最新推荐文章于 2025-03-07 22:10:18 发布
最新推荐文章于 2025-03-07 22:10:18 发布
阅读量7.9k 收藏 5
点赞数 3
分类专栏: Nginx 文章标签: nginx
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34556414/article/details/105809958
版权

 

auth_request与access|auth_basic比较

无论是通过access模块限制IP还是通过auth_basic模块设置用户名密码,这些都是非常简单的用户验证方式。

在生产环境当中很可能会有动态web服务器,它们通过更加复杂的用户名密码权限验证。这个时候可以通过访问nginx资源时候,先将用户的去请求传递给这样的应用服务器,根据应用服务器返回的结果再判断请求资源能不能继续执行。在access阶段有一个auth_request模块,该模块就可以完成这样的功能。

可以通过合理配置Nginxauth_request模块来实现对敏感路径下的内容进行访问限制(通过auth_request来进行的权限限制)。该模块默认是不会编译到Nginx中的需要手动添加--with-http_auth_request_module   

 

auth_request原理语法

原理:收到请求后,先将该请求hold住,生成子请求,子请求和该请求内容是相同的。通过反向代理技术把子请求传递给上游服务,根据上游服务的响应再来决定是否处理当前的请求。

功能:向上游的服务器转发请求,若上游服务器返回的响应码是2XX,则继续执行。若上游服务器返回的是401或者403,则将响应返回给客户端。

Syntax: auth_request uri | off;  --加上url会生成一个子请求,这个子请求会访问该url,根据该url返回的结果来决定是否允许该请求向下继续执行
Default: auth_request off;
Context: http, server, location

Syntax: auth_request_set $variable value;  --根据返回的结果设置变量来做进一步处理
Default: —
Context: http, server, location

 

举个例子如下

服务器A(192.168.179.99),其路径/上存有敏感信息,其他路径可公开访问。
服务器B(192.168.179.100),为认证服务器,其上部署了本项目代码。

服务器A(server1)的Nginx配置文件:

location / {
     auth_request /test_auth;  --生成子请求会去访问location = /test_auth{}
 } 

location = /test_auth{
     proxy_pass http://192.168.179.100/auth_upstream;  --反向代理到后端auth_upstream
     proxy_pass_request_body off;
     proxy_set_header X-Original-URI $request_uri;
}

[root@localhost ~]# echo "proxy back this is 192.168.179.99" > /usr/local/nginx/html/index.html   --该条记录用来验证用户在后端192.168.179.100返回状态

(1)服务器B(server2)的Nginx配置文件:

server{
      listen  80;
      access_log  logs/host.log  main;
      charset utf-8;
      location /auth_upstream{
      return 200 'auth success';
     }

[root@localhost ~]#  curl -I 192.168.179.99
HTTP/1.1 200 OK
Server: nginx/1.16.1
Date: Wed, 29 Jul 2020 02:12:48 GMT
Content-Type: text/html
Content-Length: 42
Last-Modified: Sat, 04 Jul 2020 01:28:06 GMT
Connection: close
ETag: "5effdb26-2a"
Accept-Ranges: bytes

如果用户为合法用户:
那么服务器B将会生成session,并通过Set-cookie命令告知用户浏览器。用户通过此Cookie即可获得服务器B的认可授权。当用户通过此Cookie访问服务器B中的/auth_upstream目录时,会返回200的状态码。 

 

(2)服务器B(server2)的Nginx配置文件:

server{
      listen  80;
      access_log  logs/host.log  main;
      charset utf-8;
      location /auth_upstream{
      return 403 'auth failed';
     }
}


[root@localhost ~]#  curl -I 192.168.179.99
HTTP/1.1 403 Forbidden
Server: nginx/1.16.1
Date: Wed, 29 Jul 2020 02:14:12 GMT
Content-Type: text/html
Content-Length: 153
Connection: close

如果用户为非法用户:
那么服务器B将不会session,由于用户无法获得认可的Cookie,那么当用户再次访问/auth_upstream的路径时,服务器会返回403错误。

 

总结

以上,通过auth_request模块以及相关配置就实现了对敏感内容的访问限制。而且通过第三方的机制,也无需自己手工实现登录功能。同时,此方案可以对同一域名下的不同子域名中的内容进行访问限制。可以重复利用一个登录系统,服务于多个其他系统。(auth_request模块对于我们拥有一个统一的用户健全系统是非常有用的)

nginx】ngx_http_proxy_connect_module 正向代理
突围
09-14 928
nginx 正向代理
nginx后端健康检查nginx_upstream_check_module
05-30 1709
3.在新下载的ngin-1.26的目录下,把nginx_upstream_check_module补丁打进来,查看本机已安装nginx的编译参数,然后拷贝,然后在后面加上--add-module=../nginx_upstream_check_module-master,由于编译需要依赖库,先安装下面几个库 pcre-devel openssl openssl-devel,然后./configure ,然后再make。2.下载nginx_upstream_check_module模块。
Nginx】基于http响应状态码做权限控制的auth_request模块
姜太小白的博客
09-09 2255
安装auth_request模块(默认并未编译进Nginx,通过--with-http-auth-request-module启用) cd nginx-1.8.0 ./configure \ --prefix=/usr/local/nginx \ --pid-path=/var/run/nginx/nginx.pid \ --lock-path=/var/lock/nginx.lock \ --error-log-path=/var/log/nginx/error.log \ --http-log-pa
Nginxauth_request 模块详解与应用指南
你知道莽村的莽怎么来的吗!
05-25 3169
对于Web开发者来说,Nginx是一个强大且灵活的Web服务器和反向代理服务器。其模块化设计让我们可以根据需求定制Nginx的功能。在安全性和访问控制方面,Nginxauth_request模块是一个非常有用的工具。本文将详细介绍auth_request模块的用途、使用场景,并通过示例代码来说明其具体应用。auth_request 模块是Nginx的一个官方模块,用于在处理客户端请求时,将这些请求传递给一个外部的认证服务进行认证。
Nginx auth_request详解
最新发布
m0_74824517的博客
03-07 1061
return 401;这个server块模拟了一个简单的认证服务,它监听127.0.0.1:8080,根据请求头Authorization判断用户是否经过认证。在实际应用中,这个应该是一个调用外部服务的代理配置。
Nginx ngx_http_auth_request_module模块鉴权
AstarCloud
11-23 3281
auth_request模块 实现了基于一子请求的结果的客户端的授权。如果子请求返回2xx响应码,则允许访问。如果它返回401或403,则访问被拒绝并显示相应的错误代码。子请求返回的任何其他响应代码都被认为是错误的。使用的也是subrequest进行子请求。
Nginx 静态资源或者路径鉴权 http_auth_request_module 统一用户验证权限验证
guozai0904的博客
09-23 2239
Nginx 静态资源或者路径鉴权 http_auth_request_module 统一用户验证权限验证
07_Nginx_auth_request模块
田一一
03-16 8252
07_Nginx_auth_request模块1. auth_request模块是什么2. auth_request模块的用途3. auth_request的启用4. auth_request的官方示例 1. auth_request模块是什么 ngx_http_auth_request_module模块(1.5.4+)实现了基于一子请求的结果的客户端的授权。如果子请求返回2xx响应码,则允许访问。如果它返回401或403,则访问被拒绝并显示相应的错误代码。子请求返回的任何其他响应代码都被认为是错误的。 a
解读nginx第三方模块ngx_http_auth_request_module
热门推荐
时间是把杀刀猪
04-26 1万+
nginx强大的可扩展性和可定制性不仅保证自己的许多功能模块化,而且也催生许多优秀的第三方模块,本文要介绍的ngx_http_auth_request_module就是其中之一。 这个模块可以实现基于服务器内部子请求的返回结果来控制用户鉴权。比如子请求返回4xx则提示说没有权限,如果是2xx则会返回资源给客户端,返回401错误则把子请求的鉴权头透传给客户端。这样通过服务器内部逻辑就可以控制鉴权,
nginxhttp_auth_request_module认证模块
weixin_43735255的博客
12-18 2984
查看安装的nginx中是否含有http_auth_request_module模块 在nginx.conf中加入下面参数 ######## 音视频服务器 ################### location ~* .(mp4|m4v|avi|flv|mkv|mov|wmv|3gp|mp3)$ { root D:/data/cameroun; a...
nginx-auth:一个简单的身份验证应用程序,供nginx auth_request机制使用
05-09
Nginx验证 nginx-auth是一个简单的基于表单的身份验证服务器,旨在与nginxauth_request插件一起使用。 它允许您使用基于表单的身份验证代替基本身份验证验证用户。 部署范例 location /private/ { auth_request /auth-check; # redirect 401 and 403 to login form error_page 401 403 =200 /nginx-auth/; } location /nginx-auth/ { proxy_pass http://localhost:3000/; proxy_redirect http://localhost:3000/ /; # Login service returns a redirect to the original
nginx-ldap-auth:使用ngx_http_auth_request_module的LDAP身份验证示例
04-29
nginx-ldap-auth 代表NGINXNGINX Plus代理的服务器对用户进行身份验证的方法的参考实现 描述 注意:为了便于阅读,本文档引用了 ,但它也适用于 。 和均包含必备的模块。 Nginx-ldap-auth软件是一种方法的参考实现,该方法用于对从NGINX Plus代理的服务器请求受保护资源的用户进行身份验证。 它包括一个与身份验证服务器进行通信的守护程序( ldap-auth ),以及一个示例守护程序,该示例守护程序在测试期间通过基于用户凭据生成身份验证cookie来代表实际的后端服务器。 这些守护程序是用Python编写的,可与轻型目录访问协议(LDAP)身份验证服务器(OpenLDAP或Microsoft Windows Active Directory 2003和2012)一起使用。 在NGINX Plus和LDAP服务器之间进行中介的ldap-auth
在CentOS 6.9 x86_64的nginx 1.12.2上开启标准模块ngx_http_auth_request_module实录
雪峰流云
01-07 4087
ngx_http_auth_request_module是是nginx的一个验证模块,它允许您的nginx通过发送请求到后端服务器(一般是应用服务器,例如tomcat,或者php等)进行请求, 并且根据请求决定是验证通过或者不通过。后端返回200 验证通过, 后端返回401或者403验证不通过。 该模块默认可以开启,可以在configure时使用--with-http_auth_reques
Nginx ngx_http_auth_request_module模块鉴权【下】携带账号密码登录
AstarCloud
11-23 1316
Nginx auth_request 认证携带账号密码 nginx配置文件中的$arg_name就是路径name的值哦。
Nginx + Flask搭建LDAP认证--nginx-auth-request-module 的使用
oBenMa的博客
11-26 3055
Nginx + Flask搭建LDAP认证--nginx-auth-request-module 的使用需求由来参考Nginxauth_request 模块nginx安装/etc/nginx/conf.d/auth.conf 需求由来 kibana,Elasticsearch 等业务需要对外服务的时候,头痛了把。传统方法 使用basic认真。用户管理起来麻烦。 公司内部有多个业务开发部门,为...
使用nginxauth_request模块完成静态文件的跨域
qq_35590424的博客
05-30 541
Nginx静态文件跨域
Nginx请求参数解析,auth_request img图片鉴权应用
nalanxiaoxiao2011的博客
10-11 3632
vue中给img的src添加token
Nginxauth_request的使用,JWT结合cookie实现多系统统一认证,多系统身份统一认证,潘多拉部署解决
weixin_45885574的博客
06-12 1775
Nginxauth_request的使用,JWT结合cookie实现多系统统一认证,多系统身份统一认证,潘多拉部署解决
nginx添加http_auth_request_module模块
07-12
要在Nginx中添加http_auth_request_module模块,你可以按照以下步骤操作: 1. 确认你的Nginx版本是否支持http_auth_request_module模块。你可以使用以下命令来检查: ``` nginx -V ``` 在输出结果中查找是否包含 "--with-http_auth_request_module" 字样,如果有,说明该模块已经被支持。 2. 如果你的Nginx版本不支持该模块,你需要重新编译Nginx并启用该模块。首先,下载Nginx的源代码: ``` wget http://nginx.org/download/nginx-x.x.x.tar.gz ``` (将 "x.x.x" 替换为你想要下载的版本号) 3. 解压源代码包: ``` tar -zxvf nginx-x.x.x.tar.gz ``` 4. 进入解压后的目录: ``` cd nginx-x.x.x ``` 5. 执行以下命令进行配置,确保启用了http_auth_request_module模块: ``` ./configure --with-http_auth_request_module ``` 6. 执行以下命令编译并安装Nginx: ``` make sudo make install ``` 7. 配置Nginx的配置文件(通常是位于 /etc/nginx/nginx.conf)。在合适的位置添加以下配置项: ``` location / { auth_request /auth; ... } location = /auth { internal; proxy_pass http://auth_backend; ... } ``` 这里的 "/auth" 是用来处理认证请求的URL,你可以根据需要进行修改。"http://auth_backend" 是实际处理认证请求的后端服务地址,也需要根据实际情况进行修改。 8. 保存并关闭配置文件后,重启Nginx服务: ``` sudo service nginx restart ``` 现在,你已经成功地添加了http_auth_request_module模块到Nginx中。你可以根据实际需求进一步配置和使用该模块来进行认证授权操作。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值