NGINX 能夠?qū)蛻舳诉M(jìn)行身份驗(yàn)證����。使用 NGINX 對客戶端請求進(jìn)行身份驗(yàn)證可以減輕服務(wù)器的工作負(fù)載,并能夠阻止未經(jīng)身份驗(yàn)證的請求到達(dá)應(yīng)用服務(wù)器��。NGINX 開源版模塊包括基本身份驗(yàn)證和身份驗(yàn)證子請求���。NGINX Plus 專有的 JSON Web Tokens(JWT)驗(yàn)證模塊可與使用身份驗(yàn)證標(biāo)準(zhǔn) OpenID Connect 的第三方身份驗(yàn)證提供商集成
本例子演示都是NGINX開源版
HTTP 基本身份驗(yàn)證
NGINX可以理解如下的密碼格式:
user1:passwd1:comment #comment為可選的user2:passwd2user3:passwd3
使用openssl passwd 對字符串進(jìn)行加密:
1����、安裝openssl后�����,在命令行執(zhí)行如下命令:
openssl passwd 'Test121$'
2、在conf.d目錄下創(chuàng)建passwd.txt�,將用戶名和密碼寫入,如圖:
注:openssl passwd生成的密碼是針對當(dāng)前用戶的�,我在root下執(zhí)行����,因此用戶就是root
3�、編輯nginx.conf��,給server模塊添加認(rèn)證���,如圖:
4����、通過IP訪問NGINX�,提示輸入賬號密碼,如圖:
使用htpasswd來配置用戶名和密碼:
除了openssl passwd外��,還可以使用htpasswd來設(shè)置用戶名和密碼
1���、安裝htpasswd���,命令如下:
yum -y install apache2-utils apt install apache2-utils
2、執(zhí)行htpasswd命令生成用戶名和密碼文件��,testuser是用戶名�����,如圖:
3、將/root/passwd.txt內(nèi)容粘貼到conf.d/passwd.txt中��,如圖:
4�、再次登錄NGINX,提示輸入用戶名和密碼����,如圖:
輸入后即可登錄到頁面
注意:auth_basic認(rèn)證可使用在http��、server����、location中,針對不同場景認(rèn)證
身份驗(yàn)證內(nèi)部子請求
通過第三方身份驗(yàn)證來對請求進(jìn)行身份驗(yàn)證���,需要用到的模塊為http_auth_request_module�����,此模塊默認(rèn)不帶�,需要在編譯安裝的時(shí)候通過如下方式指定:
--with-http_auth_request_module #with前面是兩個(gè)橫崗
1����、在conf.d下定義auth.conf文件����,內(nèi)容如下:
auth_request:啟用基于子請求結(jié)果的授權(quán)���,設(shè)為off表示不啟動����,可配置在http�����、server���、location中
auth_status: 保存認(rèn)證請求的狀態(tài)碼���,那就是/authservice的狀態(tài)碼
upstream_status:保存上游代理的返回狀態(tài)碼,也就是http://192.168.49.83:8989/auth返回的狀態(tài)碼
internal:只允許NGINX內(nèi)部請求��,不能通過外部請求
proxy_pass_request_body off:禁止將請求體傳遞給上游服務(wù)器
proxy_set_header Content-Length “”; 不將請求頭內(nèi)容傳遞給上游服務(wù)器
proxy_set_header X-Original-URI $request_uri; 自定義的 HTTP 頭 X-Original-URI�����,其值為當(dāng)前請求的 URI(由變量 $request_uri 表示)。$request_uri 變量包含了原始請求的 URI����。通過設(shè)置這個(gè)頭,你可以將原始請求的 URI 信息傳遞給上游服務(wù)器����。這在調(diào)試或當(dāng)后端服務(wù)需要知道原始請求路徑時(shí)非常有用
原理:首先請求進(jìn)來后,先到達(dá)子請求/authservice����,子請求的認(rèn)證服務(wù)為http://192.168.49.83:8989/auth���,如果子請求返回的狀態(tài)碼為2xx�����,表示請求成功�,然后繼續(xù)后面的root /usr/share/nginx/html����,如果返回3xx或者4xx等,則表示請求不成功�����,認(rèn)證不通過
2、編輯auth_8989.conf文件�����,定義路由返回狀態(tài)碼為200�����,內(nèi)容如下:
3���、通過IP訪問��,如圖:
4�、修改第2步���,將返回狀態(tài)碼修改為401����,再次請求���,如圖:
從上圖看出����,當(dāng)子請求返回狀態(tài)碼不是2xx的時(shí)候,認(rèn)證就會失敗��。
閱讀原文:原文鏈接
該文章在 2025/7/1 23:18:25 編輯過
400 186 1886
