访问控制
(1)基于IP的访问控制:http_access_module
(2)基于用户的信任登录:http_auth_basic_module
http_access_module
配置语法
Syntax:allow address | CIDR | unix: | all;
default:默认无
Context:http,server,location,limit_except
Syntax:deny address | CIDR | unix: | all;
default:默认无
Context:http,server,location,limit_except
测试
修改/etc/nginx/conf.d/access_mod.conf
内容如下:
location ~ ^/admin.html {
root /opt/app/code;
deny 192.168.174.1;
allow all;
index index.html index.htm;
}
虚拟机宿主机IP为192.168.174.1
,虚拟机IP为192.168.174.132
,故这里禁止宿主机访问,允许其他所有IP访问。
宿主机访问http://192.168.174.132/admin.html
,显示403 Forbidden
。
当然也可以反向配置,同时也可以使用IP网段的配置方式,如allow 192.168.174.0/24;
,表示满足此网段的IP都可以访问。
局限性
remote_addr
只能记录上一层与服务器直接建立连接的IP地址,若中间有代理,则记录的是代理的IP地址。
http_x_forwarded_for
可以记录每一层级的IP。
解决
(1)采用别的HTTP头信息控制访问,如HTTP_X_FORWARD_FOR(无法避免被改写)
(2)结合geo模块
(3)通过HTTP自定义变量传递
http_auth_basic_module
配置语法
Syntax:auth_basic string | off;
default:auth_basic off;
Context:http,server,location,limit_except
Syntax:auth_basic_user_file file;
default:默认无
Context:http,server,location,limit_except
file:存储用户名密码信息的文件。
配置
改名access_mod.conf
为auth_mod.conf
,内容如下:
location ~ ^/admin.html {
root /opt/app/code;
auth_basic "Auth access test!";
auth_basic_user_file /etc/nginx/auth_conf;
index index.html index.htm;
}
auth_basic
不为off
,开启登录验证功能,auth_basic_user_file
加载账号密码文件。
测试
局限性
(1)用户信息依赖文件方式
(2)操作管理机械,效率低下
解决
(1)Nginx结合LUA实现高效验证
(2)Nginx和LDAP打通,利用nginx-auth-ldap模块
(3)Nginx只做中间代理,具体认证交给应用。