NGINX_十八 nginx 访问控制

十八 nginx 访问控制

1 nginx 访问控制模块

（1）基于IP的访问控制：http_access_module
（2）基于用户的信任登录：http_auth_basic_module

2 基于IP的访问控制

2.1 配置语法

Syntax：allow address | CIDR | unix: | all;
default：默认无
Context：http，server，location，limit_exceptSyntax：deny address | CIDR | unix: | all;
default：默认无
Context：http，server，location，limit_except

2.2 配置测试

修改/etc/nginx/conf.d/access_mod.conf内容如下：

server {listen 80;server_name localhost;location ~ ^/admin {root /home/www/html;index index.html index.hml;deny 192.168.1.8;allow all;#deny 192.168.1.8;}
}
#需要注意:
如果先允许访问，在定义拒绝访问。那么拒绝访问不生效。
先写范围小的

虚拟机宿主机IP为192.168.1.8，虚拟机IP为192.168.1.11，故这里禁止宿主机访问，允许其他所有IP访问。
宿主机访问http://192.168.1.11/admin，显示403 Forbidden。
当然也可以反向配置，同时也可以使用IP网段的配置方式，如allow 192.168.1.0/24;，表示满足此网段的IP都可以访问。

2.3 指定`location`拒绝所有请求

如果你想拒绝某个指定URL地址的所有请求，而不是仅仅对其限速，只需要在location块中配置deny all指令：

server {listen 80;server_name localhost;location /foo.html {root /home/www/html;deny all;}
}

2.4 局限性

remote_addr只能记录上一层与服务器直接建立连接的IP地址，若中间有代理，则记录的是代理的IP地址。
http_x_forwarded_for可以记录每一层级的IP。

1561994965370

2.5 解决方法

（1）采用别的HTTP头信息控制访问，如HTTP_X_FORWARD_FOR（无法避免被改写）
（2）结合geo模块
（3）通过HTTP自定义变量传递

3 基于用户的信任登录

3.1 配置语法

Syntax：auth_basic string | off;
default：auth_basic off;
Context：http，server，location，limit_exceptSyntax：auth_basic_user_file file;
default：默认无
Context：http，server，location，limit_except
file：存储用户名密码信息的文件。

3.2 配置示例

改名access_mod.conf为auth_mod.conf，内容如下：

server {listen 80;server_name localhost;location ~ ^/admin {root /home/www/html;index index.html index.hml;auth_basic "Auth access test!";auth_basic_user_file /etc/nginx/auth.conf;}
}

auth_basic不为off，开启登录验证功能，auth_basic_user_file加载账号密码文件。

3.3 建立口令文件

[root@192 ~]# yum install -y httpd-tools #htpasswd 是开源 http 服务器 apache httpd 的一个命令工具，用于生成 http 基本认证的密码文件
[root@192 ~]# htpasswd -cm /etc/nginx/auth_conf user10
[root@192 ~]# htpasswd -m /etc/nginx/auth_conf user20
[root@192 ~]# cat /etc/nginx/auth_conf 
user10:$apr1$MOa9UVqF$RlYRMk7eprViEpNtDV0n40
user20:$apr1$biHJhW03$xboNUJgHME6yDd17gkQNb0