nginx的基本认证机制的配置及实现--Authorization-zds05-ChinaUnix博客

zds05的ChinaUnix博客

首页　| 　博文目录　| 　关于我

zds05

博客访问： 633727
博文数量： 356
博客积分： 0
博客等级：民兵
技术积分： 2287
用户组：普通用户
注册时间： 2013-04-08 17:08

文章分类

全部博文（356）

english（0）
stock（0）
stock（1）
openresty（1）
bpftrace（0）
大数据（1）
english（0）
汇编（1）
专利（1）
专利（0）
go（4）
lua（1）
tengine（1）
linux调试（0）
git（2）
curl2（1）
curl（0）
儿童英语1（0）
儿童英语（0）
少儿编程（0）
架构（1）
tsar（1）
运维命令（6）
powerdns1（1）
powerdns（0）
xshell（2）
linux内核学习（0）
editer（1）
编码规范（1）
lvs（1）
bochs（1）
趣谈操作系统（0）
docker（3）
nginx（17）
linux系统剖析（0）
sourceinsight（1）
redis（1）
linux监控（0）
rocketdb（0）
perl（1）
正则（1）
suricata（2）
pika（1）
流媒体协议（1）
python（1）
docker（1）
ffmpeg（1）
redis（1）
libevent（1）
nginx（4）
gdb（2）
postgresql（2）
防火墙（1）
词汇（1）
shell（4）
linux编程（37）
现网（1）
性能分析（16）
抓包（7）
分布式（0）
c++（1）
python（1）
socket（1）
squid（5）
python（1）
codis（1）
twenproxy（1）
缓存（8）
tcp/ip（8）
dpdk（1）
ats（86）
http（1）
gdb（2）
其他（3）
遇到的问题（1）
linux命令（35）
linux内核（24）
虚拟机（1）
后台开发（1）
vi（2）
trafficserver（18）
未分配的博文（17）

文章存档

2023年（3）

2022年（7）

2021年（33）

2020年（47）

2019年（36）

2018年（221）

2017年（1）

2015年（1）

2013年（7）

我的朋友

相关博文

nginx的基本认证机制的配置及实现--Authorization

分类：服务器与存储

2020-03-19 17:53:35

原文地址：nginx的基本认证机制的配置及实现--Authorization 作者：阳光天空201307

将基本认证与加密数据传输（比如ssl）配合使用，向恶意用户隐藏用户名和密码，会使基本认证变得更加安全，这是一种常用的技巧。
基本认证：对“用户名:密码”串执行base64加密后传输
今天整理下基本认证------------
先给出web服务器与代理服务器认证的对比：

web服务器	代理服务器
Unauthorized status codeL401	unauthorized status code:407
www-Authenticate	Proxy-Authenticate
Authorization	Proxy-Authorization
Authentication-Info	Proxy-Authentication-Info

如：服务器响应头：www-Authenticate:Basic realm=quoted-realm
客户端请求头：Authorization:Basic base64-username-an-password

缓存：共享的缓存收到包含Authorization首部的请求和转接那条请求产生的响应时，除非响应中提供了下列两种Cache-Control指令之一，否则一定不能将那条响应作为对任何其他请求的应答使用：
指令一：Cache-Control:must-revalidate 缓存可在应答后继请求使用那条响应的实体部分，但首先要用新请求首部与原始服务器再次进行验证
指令二：Cache-Control:public 在对任意后继请求的应答中都可以返回响应的实体部分

========
下面讲解服务器认证端的配置及用户请求认证信息的效果：
1.配置过程：
生成用户认证的用户名和密码：
执行：wget -c soft.ver.net/lnmp/ext/htpasswd.sh;bash htpasswd.sh 【意思是在/usr/local/nginx下生成htpasswd.sh并执行htpasswd.sh】
提示输入：
用户名liqing
密码liqing
文件名：liqing22
则在/usr/local/nginx/conf下生成下面的liqing22.conf,如果你的安装目录不是/usr/local/nginx/，则把生成的liqing22.conf放到你的安装目录的/conf/下

在nginx中增加配置：
location / {
root /usr/local/nginx1.7.11/html;
index index.html index.htm;
auth_basic "Authorized test";
auth_basic_user_file "/usr/local/nginx1.7.11/conf/liqing22.conf";
}

2. 发送用户请求：
[test1@cdntest-unKnown-qita_unKnown-6-249 curl1125]$ wget -e http_proxy=192.168.10.74:80 "" -S
--2015-11-25 17:54:28--
Connecting to 192.168.10.74:80... connected.
Proxy request sent, awaiting response...
HTTP/1.0 401 Unauthorized
Server: DLC-3.0
Date: Wed, 25 Nov 2015 09:54:49 GMT
Content-Type: text/html
Content-Length: 195
WWW-Authenticate: Basic realm="Authorized test"
Age: 0
Authorization failed.

服务器返回401，用户再次发送带着用户名密码的请求：
[test1@cdntest-unKnown-qita_unKnown-6-249 wget1126]$ wget -e http_proxy=192.168.10.74:80 "" --debug --header "Authorization:Basic bGlxaW5nOmxpcWluZw==" 【红色的部分是base64(用户名：密码)的值】
Setting --header (header) to Authorization:Basic bGlxaW5nOmxpcWluZw==
DEBUG output created by Wget 1.12 on linux-gnu.
--2015-11-26 11:13:16--
Connecting to 192.168.10.74:80... connected.
Created socket 3.
Releasing 0x00000000023b2d20 (new refcount 0).
Deleting unused 0x00000000023b2d20.

---request begin---
GET HTTP/1.0
User-Agent: Wget/1.12 (linux-gnu)
Accept: */*
Host: nginxtest.mytest1.dnion.com:8080
Authorization: Basic bGlxaW5nOmxpcWluZw==

---request end---
Proxy request sent, awaiting response...
---response begin---
HTTP/1.0 200 OK
Server: DLC-3.0
Date: Thu, 26 Nov 2015 03:13:28 GMT
Content-Type: text/html
Content-Length: 11
Last-Modified: Tue, 24 Nov 2015 08:13:23 GMT
ETag: "56541c23-b"
set-cookie: user=test;domain=dnion.com;path=/photo/;secure;expires=Wednesday,25-NUM-15 17:24:40 GMT
set-cookie: session_id=1;domain=mytest1.dnion.com;path=/
Cache-Control: no-cache=set-cookie
Accept-Ranges: bytes
Age: 0

---response end---
200 OK
cdm: 1 2 3 4 5 6 7 8Attempt to fake the path: /photo/, /html/test.html
cdm: 1 2 3 4 5 6 7 8
Stored cookie mytest1.dnion.com -1 (ANY) / [expiry none] session_id 1
Length: 11 [text/html]
Saving to: ?.est.html.1?
100%[================================================================================================================================================================>] 11 --.-K/s in 0s
Closed fd 3
2015-11-26 11:13:16 (1.44 MB/s) - ?.est.html.1?.saved [11/11]

【注意200的响应中没有 WWW-Authenticate: Basic realm="Authorized test"，这个只存在401的响应中】

请求的效果是：每次都回源，对请求内容不进行缓存，ats的log如下：
1448507692.144 16 192.168.10.75 TCP_MISS/200 420 GET - DIRECT/nginxtest.mytest1.dnion.com text/html -
1448507808.393 9 192.168.10.75 TCP_MISS/200 420 GET - DIRECT/nginxtest.mytest1.dnion.com text/html -

3. 对缓存进行设置：
不特殊设置情况下，如上内容不缓存每次都回源请求
在nginx源上配置Cache-Control:must-revalidate，则对实体会进行缓存，但是每次请求都会回源验证：

[test1@cdntest-unKnown-qita_unKnown-6-249 wget1126]$ wget -e http_proxy=192.168.10.74:80 "" --debug --header "Authorization:Basic bGlxaW5nOmxpcWluZw=="
Setting --header (header) to Authorization:Basic bGlxaW5nOmxpcWluZw==
DEBUG output created by Wget 1.12 on linux-gnu.

--2015-11-26 11:28:19--
Connecting to 192.168.10.74:80... connected.
Created socket 3.
Releasing 0x0000000000fdcd20 (new refcount 0).
Deleting unused 0x0000000000fdcd20.

---request begin---
GET HTTP/1.0
User-Agent: Wget/1.12 (linux-gnu)
Accept: */*
Host: nginxtest.mytest1.dnion.com:8080
Authorization: Basic bGlxaW5nOmxpcWluZw==
---request end---
Proxy request sent, awaiting response...
---response begin---
HTTP/1.0 200 OK
Server: DLC-3.0
Date: Thu, 26 Nov 2015 03:28:31 GMT
Content-Type: text/html
Content-Length: 35
Last-Modified: Thu, 26 Nov 2015 03:28:25 GMT
ETag: "56567c59-23"
Cache-Control: must-revalidate
Accept-Ranges: bytes
Age: 0
---response end---
200 OK
Length: 35 [text/html]
Saving to: ?.est.html.13?
100%[================================================================================================================================================================>] 35 --.-K/s in 0s
Closed fd 3
2015-11-26 11:28:19 (4.31 MB/s) - ?.est.html.13?.saved [35/35]

对应的ats的log如下;
1448508274.500 5 192.168.10.75 TCP_MISS/200 257 GET - DIRECT/nginxtest.mytest1.dnion.com text/html -
1448508276.548 2 192.168.10.75 TCP_REFRESH_HIT/200 257 GET - DIRECT/nginxtest.mytest1.dnion.com text/html -

4. 引出：
请求时的缓存指令包括no-cache、no-store、max-age、 max-stale、min-fresh、only-if-cached等。
响应消息中的指令包括public、private、no-cache、no- store、no-transform、must-revalidate、proxy-revalidate、max-age。

从我测试结果上来看：在nginx.config中配置的Cache-Control:must-revalidate的优先级高于Cache-Control:public，Cache-Control:public优先级高于Cache-Control:private【private每次都回源取内容且不缓存】。

备注：
转载于：

Nginx超级强大它可以单独为一个域名设置用户认证,方法也很简单我们只要生成用户认证的用户名和密码，然后再Nginx添加auth认证配置即可。

Nginx可以为某一个域名单独加用户认证，具体做法如下：

1. 生成用户认证的用户名和密码：

代码如下	复制代码
#wget -c soft.vpser.net/lnmp/ext/htpasswd.sh;bash htpasswd.sh

根据提示输入：

用户名：

密码：

文件名：

脚本会自动生成认证文件，auth.conf内容如下：

代码如下	复制代码
/usr/local//conf/auth.conf

2. 为Nginx添加auth认证配置

下面以某域名下面的auth目录为例，在域名的server段里加上如下代码：

代码如下

复制代码

location ^~ /auth/ {

location ~ .*.(php|php5)?$ {

fastcgi_pass unix:/tmp/php-cgi.sock;

fastcgi_index index.php;

fcgi.conf;

}

auth_basic "Authorized users only";

auth_basic_user_file /usr/local/nginx/conf/auth.conf

}

auth_basic_user_file 为htpasswd文件的路径

3. 重启Nginx

访问就会提示输入用户名和密码。

如果我们只想为目录增加用户认证上面方法显示不行，下面我来介绍具体目录用户认证

为目录增加用户认证( auth basic)

兼容的密码文件，因此我们需要通过apache的htpasswd生成密码文件。

首先查找你系统上的htpasswd

代码如下	复制代码
find / –name htpasswd

一般CentOS都会装apache的，位置在：

代码如下	复制代码
/usr/bin/htpasswd

如果没找到那就自行安装

代码如下	复制代码
yum install apache

并找到htpasswd文件地址。

找到htpasswd文件后，我们来创建一个用户，比如这个用户叫：xiaoquan

代码如下	复制代码
/usr/bin/htpasswd –c /usr/local/ngnix/conf/authdb xiaoquan

上面的命令在nginx的配置文件目录创建了用户为xiaoquan的authdb密码文件，当然你也可以创建的在其他地方，此处nginx配置文件使用比较方便。

上面的命令输入回车后会得到提示输入密码的提示信息，输入两次，即可添加成功。

接着修改nginx的配置文件，在某个需要加auth_basic的server配置下添加如下内容

代码如下	复制代码
location /admin/ { auth_basic "QuanLei Auth."; auth_basic_user_file /usr/local/ngnix/conf/authdb; }

最后让nginx使用最新的配置：

代码如下	复制代码
/usr/local/ngnix/sbin/nginx -s reload

补充一下，如果你使用了集群环境，那么还需要加Proxy_Pass:

代码如下	复制代码
location /admin/ { proxy_pass auth_basic "QuanLei Auth."; auth_basic_user_file /usr/local/ngnix/conf/authdb; }

阅读(3635) | 评论(0) | 转发(0) |

上一篇：关于Nginx的return配置小技巧

下一篇：服务器性能测试工具比较

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6