nginx访问控制

一、基于IP的访问控制

1、http_access_module

a、配置语法

Syntax:    allow address | CIDR | unix: | all;
Default:    —
Context:    http, server, location, limit_except

Syntax:    deny address | CIDR | unix: | all;
Default:    —
Context:    http, server, location, limit_except

CIDR ：按照网点的方式进行配置（如：192.168.0.0/24）。

unix: ：linux/unix上用到Socket时的访问。

all ： 允许所有的ip访问。

b、示例：

mv /etc/nginx/conf.d/deault.conf /etc/nginx/conf.d/access_mod.conf
vim access_mod.conf

~ ：模式匹配，这里是在访问路径里做模式匹配，访问的是根目录下以admin.html开头的路由。

 这里阻止的是我本机电脑的ip地址方位该站点。允许其它所有的ip访问。

页面访问效果：

c、示例二：

192.168.0.0/24 ：允许一个IP段来访问该站点。

此时就可以正常访问该站点了，非本IP段的访问不了。

 

 2、http_access_module的局限性。

当客户端与服务端直接有代理服务器时，http_access_module限制的就是代理服务器的ip,而非真正客户端的ip。

解决方案：

方案一、使用 http_x_forwarded_for来解决。

HTTP报头中 X-Forwarded-For 和 Rmote-Addr 之间的区别如下图：

X-Forwarded-For 是由一连串的IP构成的，它包含整个请求过程中包含客户端的IP和所有中间经过的代理服务器的IP，以逗号分隔。格式如下：

http_x_forwarded_for=Client Ip , Proxy(1)IP , Proxy(2) IP , ....

 当然 x_forwarded_for 也存在一个问题，因为它只是一个头信息，是可以被修改的，如果被别人修改了，那么访问控制也就不生效了。

方案二、结合geo模块

方案三、通过HTTP自定义变量传递。

将客户端 Remote-Addr的信息写入自定义变量，然后一级一级的携带到后端服务器，这样既能避免信息被改写，也能准确读到客户端的IP地址。

 

二、基于用户的信任登录

1、http_auth_basic_module

作用：用来做用户登录认证。

语法：

Syntax:    auth_basic string | off;
Default:   auth_basic off;
Context:   http, server, location, limit_except

Syntax:    auth_basic_user_file file;
Default:    —
Context:    http, server, location, limit_except

这里的 file 是一个用户名和密码的对应文件，格式如下：

name1:password1
name2:password2:comment
name3:password3

密码采用 htpasswd 进行加密，详情请参考 http_auth_basic_module的官网文档（http://nginx.org/en/docs/http/ngx_http_auth_basic_module.html）。

查看是否有安装 htpasswd

rpm -qf /usr/bin/htpasswd

所有我们只需要用yum 安装一下 httpd-tools 就可以啦。

配置密码文件

//创建密码文件，并加入一个用户
htpasswd -c /etc/nginx/auth_conf chrdai

 

查看文件内容

发现我们需要的用户名：密码格式的文件已经生成好了。

配置用户认证的配置文件。

mv /etc/nginx/conf.d/access_mod.conf /etc/nginx/conf.d/auth_mod.conf
vim /etc/nginx/conf.d/auth_mod.conf

 再次访问该站点就需要输入用户名和密码了。

2、http_auth_basic_module的局限性

• 用户认证依赖文件方式。
• 需要把单独的一套用户名密码存入一个文件，操作管理机械，效率低下。

解决方案：

• Nginx结合LUA实现高效验证。
• Nginx配合企业的LDAP，将Nginx和LDAP打通，利用nginx-auth-ldap模块来实现。rpm包默认安装不包含该模块。

本文为袋鼠学习中的总结，如有转载请注明出处：https://www.cnblogs.com/chrdai/protected/p/11333360.html