本文转载自微信公众号「虞大胆的叽叽喳喳」,作者虞大胆。转载本文请联系虞大胆的叽叽喳喳公众号。
昨天《聊聊安全》说到了auth验证,其实在nginx中支持非常简单。
HTTP Basic Authentication是HTTP协议的一部分,第一次请求的时候,服务器会返回401,用户输入用户名和密码后,验证通过则继续访问,反之还是401。
那Nginx如何支持它呢?
首先要在服务器上保存密钥文件,可以使用httpd-tools工具(以centos发行版为例),首先安装:
- yum install httpd-tools
然后生成:
- htpasswd -c /etc/.htpasswd user1
- htpasswd /etc/.htpasswd user2
如果要修改密码:
- htpasswd -b /etc/.htpasswd user1 passwd
其次在nginx service或者location中配置:
- location /api {
- auth_basic "Admin";
- auth_basic_user_file /etc/.htpasswd;
- }
是不是很简单,有几个小收获:
1:验证通过后,浏览器会将验证信息保存起来,至于什么时候失效目前并不可知。
2:修改服务器文件用户名密码后,客户端会再次要求验证。
3:在多个vhost上配置的密钥文件是同一个,则客户访问多个vhost,只要验证一次,看上去是个小缺陷,但对用户来说却非常方便。
对于内部系统来说,黑白名单设置也非常有用,就看是否符合应用场景,因为很多用户的IP一直在变化,举个例子:
- location /api {
- deny 192.168.1.2;
- allow 192.168.1.1/24;
- allow 127.0.0.1;
- deny all;
- }