(008)Nginx的访问控制_介绍实现访问控制的基本方式

Posted 明月之诗

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了(008)Nginx的访问控制_介绍实现访问控制的基本方式相关的知识,希望对你有一定的参考价值。

  基于IP的访问控制 http_access_module(允许哪些IP可以访问,哪些不允许访问)

  基于用户的信任登录 http_auth_basic_module(提供登录认证界面,通过登录认证的方式控制访问)

  1、http_access_module方式

  1)http_access_module 配置语法

  可以配置:允许(allow)/拒绝(deny) IP地址,网段,Socket,所有。

  Syntax:allow address | CIDR | unix: | all;
  Default:-
  Context:http,server,location,limit_except

  Syntax:deny address | CIDR | unix: | all;
  Default:-
  Context:http,server,location,limit_except

  2)演示限制IP

[root@localhost conf.d]# mv /etc/nginx/conf.d/default.conf /etc/nginx/conf.d/access_mod.conf

  修改access_mod.conf,限制192.168.7.103不能访问admin.html文件。allow all;是配置其他IP可以访问。

location / {
  root   /opt/app/code;
  index  index.html index.htm;
}

location ~ ^/admin.html {
  root  /opt/app/code;
  deny  192.168.7.103;
  allow  all;
  index  index.html index.htm; 
}

  

  新建/opt/app/code/admin.html

<html>
<head>
    <meta charset="utf-8">
    <title>imooc1</title>
</head>
<body style="background-color:red;">
</body>
</html>

  检查配置文件语法,并重新加载配置,测试 http://192.168.7.151/admin.html 成功:

  

  配置某一段的IP可以访问,如下,需要了解IP段的含义。

location / {
  root   /opt/app/code;
  index  index.html index.htm;
}

location ~ ^/admin.html {
  root    /opt/app/code;
  allow   192.168.7.0/24;
  deny    all;
  index   index.html index.htm;
}

  3)http_access_module方式的局限性及其解决方案

  如果不是客户端直接访问服务端,而是通过代理再访问服务端,比如通过中间件代理Nginx、7lay LSB、CDN等访问服务端会出现问题。因为Nginx的http_access_module是基于remote_addr变量识别客户端IP的。经过中间一层,客户端的IP地址会改变,识别的Ip实际是代理层的IP。

  解决方式:

  方法一:采用别的HTTP头信息控制访问,如:HTTP_X_FORWARD_FOR。HTTP_X_FORWARD_FOR是HTTP头信息,HTTP协议规定携带的,客户端IP1访问到代理上,代理上的HTTP_X_FORWARD_FOR是IP1,代理的IP地址IP2访问到Nginx服务端,服务端上的HTTP_X_FORWARD_FOR是IP1,IP2(两个IP逗号分隔)。使用HTTP_X_FORWARD_FOR会包含客户端浏览器的IP。

  使用HTTP_X_FORWARD_FOR也有问题:HTTP_X_FORWARD_FOR是协议要求的,不一定所有的CDN厂商或者代理厂商按照要求来做。并且由于它只是一个头信息,可能会被客户端修改。

  方法二:结合geo模块做。

  方法三:通过HTTP自定义变量传递。

  2、http_auth_basic_module方式

  1)http_auth_basic_module是Nginx的认证模块,语法如下:

  Syntax:auth_basic_string | off;
  Default:auth_basic off;
  Context:server,location,limit_except

  Syntax:auth_basic_user_file file;
  Default:-
  Context:http,server,location,limit_except

  file是存储用户名和密码信息的文件。生成密码文件可参考官网:http://nginx.org/en/docs/http/ngx_http_auth_basic_module.html

  2)演示

  进入到/etc/nginx,在该目录生成密码文件,文件名:auth_conf,并添加用户名sl,密码123456

htpasswd -c ./auth_conf sl

  

  

  修改配置文件/etc/nginx/conf.d/auth_mod.conf

location / {
  root   /opt/app/code;
  index  index.html index.htm;
}

location ~ ^/admin.html {
  root    /opt/app/code;
  auth_basic "Auth access test! input your password!";
  auth_basic_user_file /etc/nginx/auth_conf;
  index   index.html index.htm;
}

  

  检查配置文件语法,并重新加载配置,测试:http://192.168.7.151/admin.html,弹出输入密码框,测试成功!

  

   3)该方式的局限性

  用户信息依赖文件方式;操作管理机械,效率低下。

  4)解决方案

  Nginx结合LUA实现高效验证

  Nginx和LDAP打通,利用nginx-auth-ldap模块

 

 

 

 

 

 

  

  

  

 

以上是关于(008)Nginx的访问控制_介绍实现访问控制的基本方式的主要内容,如果未能解决你的问题,请参考以下文章

Nginx的两种访问控制详解

Nginx防盗链 Nginx访问控制 Nginx解析php相关配置 Nginx代理

使用PAC file结合ATS控制访问

nginx访问控制

部署Nginx网站服务实现访问状态统计以及访问控制功能

nginx访问控制