使用nginx给网站添加身份认证

2019/10/26 00:28
阅读数 1.4K

使用nginx给网站添加身份认证

basic auth

默认情况下nginx已经安装了ngx_http_auth_basic_module模块,如果不需要这个模块,可以加上 --without-http_auth_basic_module 。

nginx basic auth指令

语法: auth_basic string | off; 默认值: auth_basic off; 配置段: http, server, location, limit_except

默认表示不开启认证,后面如果跟上字符,这些字符会在弹窗中显示。

语法: auth_basic_user_file file; 默认值: — 配置段: http, server, location, limit_except

用户密码文件,文件内容类似如下:

username:passwd:comment
用户名:密码:注释
  1. 使用htpasswd工具加密密码

    sudo apt install apache2-utils
    sudo htpasswd /usr/local/nginx/conf/htpasswd username //输入两遍密码
    
  2. 修改nginx配置

    sudo vim /usr/local/nginx/conf/nginx.conf
    在http段添加:
        auth_basic "nginx basic http auth test for auth.test.com";
    	auth_basic_user_file /usr/local/nginx/conf/htpasswd;
    	autoindex_exact_size off;
    	autoindex_localtime on;
    	autoindex on;
    
  3. 重启nginx服务

    sudo nginx -t
    sudo nginx -s reload
    
  4. 去浏览器验证现在访问域名下的资源都需要先登陆认证才可以

ngx_http_auth_request_module 第三方认证

编译 Nginx 时需要添加该模块 --with-http_auth_request_module 该模块可以将客户端输入的用户名、密码 username:password 通过 Base64 编码后写入 Request Headers 中 例如:wang:wang -> Authorization:Basic d2FuZzp3YW5n= 然后通过第三方程序解码后跟数据库中用户名、密码进行比较,Nginx 服务器通过 header 的返回状态判断是否认证通过。

  • 编辑nginx配置文件
server {
    listen 80;
    server_name local.server.com;

    auth_request /auth;

    location / {
        root   html;
        index  index.html;
    }

    location /auth {
        proxy_pass http://auth.server.com/HttpBasicAuthenticate.php;
        proxy_pass_request_body off;
        proxy_set_header Content-Length "";
        proxy_set_header X-Original-URI $request_uri;
    }
}

# auth_request /auth; # 启用认证
# proxy_pass http://auth.server.com/HttpBasicAuthenticate.php; # 认证服务器地址
# 参考地址:http://nginx.org/en/docs/http/ngx_http_auth_request_module.html
  • 添加第三方认证服务器

    vim /usr/local/nginx/conf/vhost/auth.conf  # 这是第三方认证服务器,认证逻辑使用的 PHP 代码
    
    server {
        listen       80;
        server_name  auth.server.com;
        root /usr/local/nginx/auth;
    
        location ~ \.php$ {
            fastcgi_pass   127.0.0.1:9000;
            fastcgi_index  index.php;
            fastcgi_param  SCRIPT_FILENAME  /usr/local/nginx-1.10.2/html$fastcgi_script_name;
            include        fastcgi_params;
        }
    }
    
  • 添加认证程序

    vim /usr/local/nginx/auth/HttpBasicAuthenticate.php
    
    <?php
    if(isset($_SERVER['PHP_AUTH_USER'], $_SERVER['PHP_AUTH_PW'])){
        $username = $_SERVER['PHP_AUTH_USER'];
        $password = $_SERVER['PHP_AUTH_PW'];
    
        if ($username == 'wang' && $password == '123456'){
            return true;
        }
    }
    
    header('WWW-Authenticate: Basic realm="Git Server"');
    header('HTTP/1.0 401 Unauthorized');
    
  • 用户访问 local.server.com 弹出框中输入的用户名、密码保存在 $_SERVER 变量中 中间 if 段,只做演示用,工作中应该是拿用户输入的用户名、密码跟数据库中的数据做比较 用户访问 local.server.com 就会去 auth.servere.com 做用户认证,认证通过后继续访问 local.server.com

展开阅读全文
打赏
0
0 收藏
分享
加载中
更多评论
打赏
0 评论
0 收藏
0
分享
返回顶部
顶部