十二、访问控制、变量

访问控制

一、nginx 访问控制模块
（1）基于IP的访问控制：http_access_module
（2）基于用户的信任登录：http_auth_basic_module

二、基于IP的访问控制
1、配置语法

Syntax：allow address | CIDR | unix: | all;
default：默认无
Context：http，server，location

Syntax：deny address | CIDR | unix: | all;
default：默认无
Context：http，server，location
===================================================
allow    允许     //ip或者网段
deny    拒绝     //ip或者网段

2、配置测试

编辑/etc/nginx/conf.d/access_mod.conf内容如下：

[root@biudefor ~]# vim /etc/nginx/conf.d/access_mod.conf
server {
        listen 80;
        server_name localhost;
        location  / {
                root /usr/share/nginx/html;
                index index.html index.hml;
                deny 10.3.134.2;
                allow all;
                }
}
[root@biudefor ~]# nginx -t
[root@biudefor ~]# nginx -s reload

#需要注意:
1.按顺序匹配，已经被匹配的ip或者网段，后面不再被匹配。
2.如果先允许所有ip访问，在定义拒绝访问。那么拒绝访问不生效。
3.默认为allow all

宿主机IP为10.3.134.2，虚拟机IP为10.3.134.5，故这里禁止宿主机访问，允许其他所有IP访问。

宿主机访问http://10.3.134.2，显示403 Forbidden。

当然也可以反向配置，同时也可以使用IP网段的配置方式，如allow 10.3.134.0/24;，表示满足此网段的IP都可以访问。

3、指定location拒绝所有请求

如果你想拒绝某个指定URL地址的所有请求,只需要在location块中配置deny all指令：

[root@192 ~]# vim /etc/nginx/conf.d/access_mod.conf
server {
        listen 80;
        server_name localhost;
        location  / {
                root /usr/share/nginx/html;
                index index.html index.hml;
                deny all;    #拒绝所有
                }
}

[root@biudefor ~]# nginx -t
[root@biudefor ~]# nginx -s reload

三、基于用户的信任登录

基于用户的信任登录模块：http_auth_basic_module
有时我们会有这么一种需求，就是你的网站的某些页面不希望公开，我们希望的是某些特定的客户端可以访问。那么我们可以在访问时要求进行身份认证，就如给你自己的家门加一把锁，以拒绝那些不速之客。
1、配置语法

Syntax：auth_basic string | off;
default：auth_basic off;
Context：http，server，location

Syntax：auth_basic_user_file file;
default：默认无
Context：http，server，location
file：存储用户名密码信息的文件。

2、配置示例

[root@192 ~]# vim /etc/nginx/conf.d/auth_mod.conf 
server {
    listen 80;
    server_name localhost;
    location ~ /admin {
        root /var/www/html;
        index index.html index.hml;
        auth_basic "Auth access test!";
        auth_basic_user_file /etc/nginx/auth_conf;
        }
}

[root@192 ~]# nginx -t
[root@192 ~]# nginx -s reload
[root@192 ~]# mkdir /var/www/html    #创建目录
[root@192 ~]# vim /var/www/html/index.html    #创建文件

auth_basic不为off，开启登录验证功能，auth_basic_user_file加载账号密码文件。

3、建立口令文件

[root@192 ~]# yum install -y httpd-tools #htpasswd 是开源 http 服务器 apache httpd 的一个命令工具，用于生成 http 基本认证的密码文件
[root@192 ~]# htpasswd -cm /etc/nginx/auth_conf user10 # -c 创建解密文件，-m MD5加密
[root@192 ~]# htpasswd -m /etc/nginx/auth_conf user20
[root@192 ~]# cat /etc/nginx/auth_conf 
user10:$apr1$MOa9UVqF$RlYRMk7eprViEpNtDV0n40
user20:$apr1$biHJhW03$xboNUJgHME6yDd17gkQNb0

4、访问测试

1561996355328.png

nginx 变量

Nginx的配置文件使用语法的就是一门微型的编程语言。既然是编程语言，一般也就少不了“变量”这种东西。

1、nginx变量简介

• 所有的 Nginx变量在 Nginx 配置文件中引用时都须带上 $ 前缀

• 在 Nginx 配置中，变量只能存放一种类型的值，而且也只存在一种类型，那就是字符串类型

• 所有的变量值都可以通过这种方式引用：

   $变量名
  

2、nginx 变量的定义和使用

nginx中的变量分为两种，自定义变量与内置预定义变量

1、自定义变量
2、声明变量
可以在sever,http,location等标签中使用set命令声明变量，语法如下

  set $变量名 变量值

注意:

• nginx 中的变量必须都以$开头
• nginx 的配置文件中所有使用的变量都必须是声明过的，否则 nginx 会无法启动并打印相关异常日志
  nginx安装echo模块

查看已经安装的nginx的版本
[root@192 ~]# nginx -V 
上传或者下载一个相同版本的nginx包
[root@192 ~]# ls
anaconda-ks.cfg  nginx-1.16.0.tar.gz
下载echo模块的安装包
[root@192 ~]# wget https://github.com/openresty/echo-nginx-module/archive/v0.61.tar.gz
[root@192 ~]# ls
anaconda-ks.cfg  nginx-1.16.0.tar.gz  v0.61.tar.gz
解压到相同路径下:
[root@192 ~]# tar xzf nginx-1.16.0.tar.gz -C /usr/local/
[root@192 ~]# tar xzf v0.61.tar.gz -C /usr/local/
安装编译工具
[root@192 ~]# cd /usr/local/
[root@192 local]# yum -y install pcre pcre-devel openssl openssl-devel gcc gcc-c++   zlib zlib-devel gd-devel
添加模块：
[root@192 local]# cd nginx-1.16.0/
添加上原来已经有的参数和新添加的模块:
[root@192 nginx-1.16.0]# ./configure --prefix=/etc/nginx --sbin-path=/usr/sbin/nginx --modules-path=/usr/lib64/nginx/modules --conf-path=/etc/nginx/nginx.conf --error-log-path=/var/log/nginx/error.log --http-log-path=/var/log/nginx/access.log --pid-path=/var/run/nginx.pid --lock-path=/var/run/nginx.lock --http-client-body-temp-path=/var/cache/nginx/client_temp --http-proxy-temp-path=/var/cache/nginx/proxy_temp --http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp --http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp --http-scgi-temp-path=/var/cache/nginx/scgi_temp --user=nginx --group=nginx --with-compat --with-file-aio --with-threads --with-http_addition_module --with-http_auth_request_module --with-http_dav_module --with-http_flv_module --with-http_gunzip_module --with-http_gzip_static_module --with-http_mp4_module --with-http_random_index_module --with-http_realip_module --with-http_secure_link_module --with-http_slice_module --with-http_ssl_module --with-http_stub_status_module --with-http_sub_module --with-http_v2_module --with-mail --with-mail_ssl_module --with-stream --with-stream_realip_module --with-stream_ssl_module --with-stream_ssl_preread_module --with-cc-opt='-O2 -g -pipe -Wall -Wp,-D_FORTIFY_SOURCE=2 -fexceptions -fstack-protector-strong --param=ssp-buffer-size=4 -grecord-gcc-switches -m64 -mtune=generic -fPIC' --with-ld-opt='-Wl,-z,relro -Wl,-z,now -pie' --add-module=/usr/local/echo-nginx-module-0.61
[root@192 nginx-1.16.0]# make -j2  #编译，不要make install 否则会覆盖原来的文件
[root@192 nginx-1.16.0]# mv /usr/sbin/nginx /usr/sbin/nginx_bak #将原来的nignx备份
[root@192 nginx-1.16.0]# cp objs/nginx /usr/sbin/  拷贝nignx
[root@192 nginx-1.16.0]# systemctl restart nginx  #启动
[root@192 nginx-1.16.0]# nginx -V  查看模块是否添加成功
nginx version: nginx/1.16.0
built by gcc 4.8.5 20150623 (Red Hat 4.8.5-36) (GCC) 
built with OpenSSL 1.0.2k-fips  26 Jan 2017
TLS SNI support enabled
configure arguments: --prefix=/etc/nginx --sbin-path=/usr/sbin/nginx --modules-path=/usr/lib64/nginx/modules --conf-path=/etc/nginx/nginx.conf --error-log-path=/var/log/nginx/error.log --http-log-path=/var/log/nginx/access.log --pid-path=/var/run/nginx.pid --lock-path=/var/run/nginx.lock --http-client-body-temp-path=/var/cache/nginx/client_temp --http-proxy-temp-path=/var/cache/nginx/proxy_temp --http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp --http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp --http-scgi-temp-path=/var/cache/nginx/scgi_temp --user=nginx --group=nginx --with-compat --with-file-aio --with-threads --with-http_addition_module --with-http_auth_request_module --with-http_dav_module --with-http_flv_module --with-http_gunzip_module --with-http_gzip_static_module --with-http_mp4_module --with-http_random_index_module --with-http_realip_module --with-http_secure_link_module --with-http_slice_module --with-http_ssl_module --with-http_stub_status_module --with-http_sub_module --with-http_v2_module --with-mail --with-mail_ssl_module --with-stream --with-stream_realip_module --with-stream_ssl_module --with-stream_ssl_preread_module --with-cc-opt='-O2 -g -pipe -Wall -Wp,-D_FORTIFY_SOURCE=2 -fexceptions -fstack-protector-strong --param=ssp-buffer-size=4 -grecord-gcc-switches -m64 -mtune=generic -fPIC' --with-ld-opt='-Wl,-z,relro -Wl,-z,now -pie' --add-module=/usr/local/echo-nginx-module-0.61

2、配置 $foo=hello

[root@192 ~]# cd /etc/nginx/conf.d/
[root@192 conf.d]# vim echo.conf
server {
        listen 80;
        server_name     localhost;
        location /test {
                set $foo hello;
                echo "foo: $foo";
        }
}

输出

[root@192 conf.d]# nginx -s reload
[root@192 conf.d]# curl localhost/test
foo: hello

Nginx 变量的创建只能发生在 Nginx 配置加载的时候，或者说 Nginx 启动的时候。而赋值操作则只会发生在请求实际处理的时候。这意味着不创建而直接使用变量会导致启动失败。

2、内置预定义变量

内置预定义变量即无需声明就可以使用的变量，通常包括一个http请求或响应中一部分内容的值，以下为一些常用的内置预定义变量

变量名	定义
$arg_PARAMETER	GET请求中变量名PARAMETER参数的值。
$args	这个变量等于GET请求中的参数。例如，foo=123&bar=blahblah;这个变量只可以被修改
$binary_remote_addr	二进制码形式的客户端地址。
$body_bytes_sent	传送页面的字节数
$content_length	请求头中的Content-length字段。
$content_type	请求头中的Content-Type字段。
$cookie_COOKIE	cookie COOKIE的值。
$document_root	当前请求在root指令中指定的值。
$document_uri	与$uri相同。
$host	请求中的主机头(Host)字段，如果请求中的主机头不可用或者空，则为处理请求的server名称(处理请求的server的server_name指令的值)。值为小写，不包含端口。
$hostname	机器名使用 gethostname系统调用的值
$http_HEADER	HTTP请求头中的内容，HEADER为HTTP请求中的内容转为小写，-变为_(破折号变为下划线)，例如：$http_user_agent(Uaer-Agent的值);
$sent_http_HEADER	HTTP响应头中的内容，HEADER为HTTP响应中的内容转为小写，-变为_(破折号变为下划线)，例如： sent_http_cache_control, sent_http_content_type…;
$is_args	如果$args设置，值为"?"，否则为""。
$limit_rate	这个变量可以限制连接速率。
$nginx_version	当前运行的nginx版本号。
$query_string	与$args相同。
$remote_addr	客户端的IP地址。
$remote_port	客户端的端口。
$remote_user	已经经过Auth Basic Module验证的用户名。
$request_filename	当前连接请求的文件路径，由root或alias指令与URI请求生成。
$request_body	这个变量（0.7.58+）包含请求的主要信息。在使用proxy_pass或fastcgi_pass指令的location中比较有意义。
$request_body_file	客户端请求主体信息的临时文件名。
$request_completion	如果请求成功，设为"OK"；如果请求未完成或者不是一系列请求中最后一部分则设为空。
$request_method	这个变量是客户端请求的动作，通常为GET或POST。包括0.8.20及之前的版本中，这个变量总为main request中的动作，如果当前请求是一个子请求，并不使用这个当前请求的动作。
$request_uri	这个变量等于包含一些客户端请求参数的原始URI，它无法修改，请查看$uri更改或重写URI。
$scheme	所用的协议，比如http或者是https，比如rewrite ^(.+)$ $scheme://example.com$1 redirect;
$server_addr	服务器地址，在完成一次系统调用后可以确定这个值，如果要绕开系统调用，则必须在listen中指定地址并且使用bind参数。
$server_name	服务器名称。
$server_port	请求到达服务器的端口号。
$server_protocol	请求使用的协议，通常是HTTP/1.0或HTTP/1.1。
$uri	请求中的当前URI(不带请求参数，参数位于args)，不同于浏览器传递的args)，不同于浏览器传递的args)，不同于浏览器传递的request_uri的值，它可以通过内部重定向，或者使用index指令进行修改。不包括协议和主机名，例如/foo/bar.html