nginx-访问控制-8

nginx访问控制模块

1、基于IP的访问控制:http_access_module

2、基于用户的信任登录:http_auth_basic_module

基于IP的访问控制

基于IP的访问控制有四种情况:允许所有人访问、拒绝所有人访问、拒绝某个允许所有、允许某个决绝所有。注意:不能配置允许所有决绝某个,否则拒绝失效,也不能拒绝所有允许某个,否则允许失效。

配置语法:

配置语法
语法:allow address|CIDR|unix:|all;
默认:模默认无
CONTEXT(应用域):http,server、location、limit_except
 
语法:deny address|CIDR|unix:|all;
默认:默认无
应用域:http,server,location、limit_except

配置测试:

允许所有人访问
[root@localhost ~]# vim /etc/nginx/conf.d/rewrite.conf
server {
        listen 80;
        server_name www.hjf777.com;
        location / {
        root /html;
        index index.html;
        allow all;
        }
}
[root@localhost ~]# 
[root@localhost ~]# tree /html/
/html/
└── index.html
用192.168.242.134机器访问
[root@localhost ~]# curl 192.168.242.138
123
用192.168.242.140机器访问
[root@localhost ~]# curl 192.168.242.138
123
拒绝所有人访问
[root@localhost ~]# vim /etc/nginx/conf.d/rewrite.conf
server {
        listen 80;
        server_name www.hjf777.com;
        location / {
        root /html;
        index index.html;
        deny all;
        }
}
[root@localhost ~]# tree /html/
/html/
└── index.html
用192.168.242.134机器访问
[root@localhost ~]# curl 192.168.242.138

403 Forbidden

403 Forbidden


nginx/1.20.2
用192.168.242.140机器访问 [root@localhost ~]# curl 192.168.242.138 403 Forbidden

403 Forbidden


nginx/1.20.2
允许某个访问拒绝所有
[root@localhost ~]# vim /etc/nginx/conf.d/rewrite.conf 
server {
        listen 80;
        server_name www.hjf777.com;
        location / {
        root /html;
        index index.html;
        allow 192.168.242.134;
        deny all;
        }
}
[root@localhost ~]# tree /html/
/html/
└── index.html
用192.168.242.134机器访问
[root@localhost ~]# curl 192.168.242.138
123
用192.168.242.140机器访问
[root@localhost ~]# curl 192.168.242.138

403 Forbidden

403 Forbidden


nginx/1.20.2
拒绝某个访问允许所有
[root@localhost ~]# vim /etc/nginx/conf.d/rewrite.conf 
server {
        listen 80;
        server_name www.hjf777.com;
        location / {
        root /html;
        index index.html;
        deny 192.168.242.134;
        allow all;
        }
}
[root@localhost ~]# tree /html/
/html/
└── index.html
用192.168.242.134机器访问
[root@localhost ~]# curl 192.168.242.138

403 Forbidden

403 Forbidden


nginx/1.20.2
用192.168.242.140机器访问 [root@localhost ~]# curl 192.168.242.138 123

基于用户的信任登录

配置语法:

Syntax:auth_basic string | off;
default:auth_basic off;
Context:http,server,location,limit_except
 
Syntax:auth_basic_user_file file;
default:默认无
Context:http,server,location,limit_except
file:存储用户名密码信息的文件。

配置示例:

[root@localhost ~]# vim /etc/nginx/conf.d/rewrite.conf
server {
        listen 80;
        server_name www.hjf777.com;
        location / {
        root /html;
        index index.html;
        auth_basic "welcome!";    #设置开启auth_basic指令   “welcome”自定义,写什么都可以
        auth_basic_user_file /etc/nginx/auth_conf;     #指定密码文件
        }
}      注意:密码文件可以放在任意目录下,前提是nginx对其有权限,所有建议放在nginx的工作目录下
[root@localhost ~]# yum install -y httpd-tools
....
[root@localhost ~]# htpasswd -cm /etc/nginx/auth_conf hjf
New password: 
Re-type new password: 
Adding password for user hjf
[root@localhost ~]# cat /etc/nginx/auth_conf 
hjf:$apr1$h0ZsB8Ux$as3.Cx943iojJs3HFYTKI.
-c  创建一个新文件
-m  强制对密码进行MD5加密(默认)。

访问测试:

nginx-访问控制-8_第1张图片

局限性
(1)用户信息依赖文件方式
(2)操作管理机械,效率低下

解决方法
(1)Nginx结合LUA实现高效验证
(2)Nginx和LDAP打通,利用nginx-auth-ldap模块
(3)Nginx只做中间代理,具体认证交给应用。 

你可能感兴趣的:(Linux基础学习,nginx,运维,服务器)