wxin/nginx
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
nginx/nginx访问控制.md
wxin 6d6cdcda03 更新 nginx访问控制.md
2025-03-10 19:30:02 +08:00

147 lines
3.9 KiB
Markdown
Raw Permalink Blame History

This file contains invisible Unicode characters

This file contains invisible Unicode characters that are indistinguishable to humans but may be processed differently by a computer. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

<h2><center>Nginx 访问控制</center></h2>
------
## 一nginx访问控制模块
```
1基于IP的访问控制http_access_module
2基于用户的信任登录http_auth_basic_module
```
## 二基于IP的访问控制
### 1. 语法格式
```
Syntaxallow address | CIDR | unix: | all;
default默认无
Contexthttpserverlocationlimit_except
Syntaxdeny address | CIDR | unix: | all;
default默认无
Contexthttpserverlocationlimit_except
===================================================
allow 允许 //ip或者网段
deny 拒绝 //ip或者网段
```
### 2. 配置测试
编辑`/etc/nginx/conf.d/access_mod.conf`内容如下:
```bash
[root@test ~]# vim /etc/nginx/conf.d/access_mod.conf
server {
listen 80;
server_name localhost;
location / {
root /usr/share/nginx/html;
index index.html index.htm;
deny 192.168.159.131;
allow all;
}
}
[root@test ~]# nginx -t
[root@test ~]# nginx -s reload
#需要注意:
1.按顺序匹配已经被匹配的ip或者网段后面不再被匹配。
2.如果先允许所有ip访问再定义拒绝访问。那么拒绝访问不生效。
3.默认为allow all
```
注意:
如果先允许访问,在定义拒绝访问;那么拒绝访问不生效.
虚拟机宿主机IP为192.168.159.131虚拟机IP为192.168.159.130故这里禁止宿主机访问允许其他所有IP访问。 宿主机访问http://192.168.159.130/admin显示403 Forbidden。 当然也可以反向配置同时也可以使用IP网段的配置方式如allow 192.168.159.0/24;表示满足此网段的IP都可以访问。
**指定`location`拒绝所有请求**
```bash
[root@test ~]# vim /etc/nginx/conf.d/access_mod.conf
server {
listen 80;
server_name localhost;
location / {
root /usr/share/nginx/html;
index index.html index.htm;
deny all;
}
}
[root@test ~]# nginx -t
[root@test ~]# nginx -s reload
```
注意:
如果你想拒绝某个指定URL地址的所有请求而不是仅仅对其限速只需要在location块中配置deny all指令。
## 三:基于用户的信任登录
### 1. 模块
基于用户的信任登录模块http_auth_basic_module
有时我们会有这么一种需求,就是你的网站的某些页面不希望公开,我们希望的是某些特定的客户端可以访问。那么我们可以在访问时要求进行身份认证,就如给你自己的家门加一把锁,以拒绝那些不速之客。
### 2. 语法格式
```
Syntaxauth_basic string | off;
defaultauth_basic off;
Contexthttpserverlocation
Syntaxauth_basic_user_file file;
default默认无
Contexthttpserverlocation
file存储用户名密码信息的文件。
```
### 3. 配置测试
```bash
[root@test ~]# vim /etc/nginx/conf.d/auth_mod.conf
server {
listen 80;
server_name localhost;
location ~ ^/admin {
root /usr/share/nginx/html;
index index.html index.htm;
auth_basic "Auth access test!";
auth_basic_user_file /etc/nginx/auth_conf;
}
}
# auth_basic不为off开启登录验证功能auth_basic_user_file加载账号密码文件。
[root@test ~]# nginx -t
[root@test ~]# nginx -s reload
```
```bash
建立口令文件:
[root@test ~]# yum install -y httpd-tools # htpasswd 是开源 http 服务器 apache httpd 的一个命令工具,用于生成 http 基本认证的密码文件
[root@test ~]# htpasswd -cm /etc/nginx/auth_conf user10 # -c 创建解密文件,-m MD5加密新版本的apache不用-m可默认加密
[root@test ~]# htpasswd -m /etc/nginx/auth_conf user20
[root@test ~]# cat /etc/nginx/auth_conf
user10:$apr1$bgbZyRky$SpEC50qcsw7UXHSse1yna.
user20:$apr1$NVcLhaq0$WBBC5liZKNwuQ9IN0/am/1
```
访问测试:
![](http://182.92.143.66:40072/directlink/img/nginx/image-202502260006.png)
### 4. 局限性
- 用户信息依赖文件方式
- 操作管理机械,效率低下
### 5. 解决办法
Nginx只做中间代理具体认证交给应用
Reference in New Issue View Git Blame Copy Permalink