我们都知道,Web 服务器程序部署成功并启动之后,都是可以公开访问的,要想控制成只有部分人可以访问必然需要配置一下访问认证,实现访问认证的方法有很多,主要有两种:Flask-OAuth 和 Nginx,Flask-OAuth 以前讲过,今天我就来讲一下 Nginx 配置访问认证。这里以配置 Scrapyd 的访问认证为例进行讲解。
为什么 Nginx 能做访问认证
首先来看一下为什么 Nginx 能做访问认证,Nginx 之所以可以做访问认证,是因为它具有一项非常强大的功能——反向代理!那么我们就先来说说这个反向代理究竟是什么鬼玩意。
反向代理(Reverse Proxy)方式是指以代理服务器来接受 Internet 上的连接请求,然后将请求转发给内部网络上的服务器,并将从服务器上得到的结果返回给 Internet 上请求连接的客户端,此时代理服务器对外就表现为一个反向代理服务器。
知道了反向代理,访问认证的逻辑也就水落石出了,就是在请求转发给内网服务器之前做一个判断,认证口令正确,就把请求转发给内网服务器,认证口令错误,就重新进行验证或者直接拒绝访问。
Nginx 如何配置访问认证
知道了反向代理逻辑,接下来就是 Nginx 如何配置访问认证,难道要从头开始写,如果真的要从头开始写那我宁愿选择 Flask-OAuth。其实反向代理的逻辑早就被 Nginx 给封装好了,我们只要去配置文件里面填写必要的信息就完事了。
修改配置文件
接着就是修改配置文件,网上教程都是这么说的吧。在文件末尾添加如下内容:
代码语言:javascript复制http {
server {
listen 6801;
location / {
proxy_pass http://127.0.0.1:6800/;
auth_basic "Restricted";
auth_basic_user_file /etc/nginx/conf.d/.htpasswd;
}
}
}
然后使用 htpasswd 命令创建用户名密码文件,这里假设用户名是 admin,命令如下:
htpasswd -c .htpasswd admin。
接着就会提示输入密码,输入两次之后,就会生成这个用户名密码文件,然后把文件移动到 /etc/nginx/conf.d/ 里面。最后输入如下命令:
sudo nginx -s reload
运行这个命令来重启 Nginx 服务就完事了。
可是这个教程是针对 Linux 系统而言的,我要讲解的是针对 Windows 系统。所以上述教程也只能作为参考,不能照搬!
我们需要针对 Windows 系统的实际情况对上述教程略作修改,修改后向配置文件里面添加如下内容:
代码语言:javascript复制http {
server {
listen 6801;
location / {
proxy_pass http://127.0.0.1:6800/;
auth_basic "Restricted";
auth_basic_user_file .htpasswd;
}
}
}
然后保存配置文件,打开 cmd,切换目录到 Nginx 目录(我的是 D:nginx-1.16.1),向上面所说的一样执行创建用户名密码文件命令,然后输入以下命令:
nginx -s reload
运行这个命令重启服务会发现有一个错误,如图所示。
稍微翻译一下,"http" 指示是重复的……第 118 行。问题很明显,之前就出现了 http。不管了,先去配置文件里面搜索一下看看,搜索结果如图所示。
注意红色箭头的指向,有两个 http,那么我们对它们进行合并,下面直接给出合并之后的配置文件内容(看一下内容应该知道是怎么合并的了)。
代码语言:javascript复制#user nobody;
worker_processes 1;
#error_log logs/error.log;
#error_log logs/error.log notice;
#error_log logs/error.log info;
#pid logs/nginx.pid;
events {
worker_connections 1024;
}
http {
include mime.types;
default_type application/octet-stream;
#log_format main '$remote_addr - $remote_user [$time_local] "$request" '
# '$status $body_bytes_sent "$http_referer" '
# '"$http_user_agent" "$http_x_forwarded_for"';
#access_log logs/access.log main;
sendfile on;
#tcp_nopush on;
#keepalive_timeout 0;
keepalive_timeout 65;
#gzip on;
server {
listen 80;
server_name localhost;
#charset koi8-r;
#access_log logs/host.access.log main;
location / {
root html;
index index.html index.htm;
}
#error_page 404 /404.html;
# redirect server error pages to the static page /50x.html
#
error_page 500 502 503 504 /50x.html;
location = /50x.html {
root html;
}
# proxy the PHP scripts to Apache listening on 127.0.0.1:80
#
#location ~ .php$ {
# proxy_pass http://127.0.0.1;
#}
# pass the PHP scripts to FastCGI server listening on 127.0.0.1:9000
#
#location ~ .php$ {
# root html;
# fastcgi_pass 127.0.0.1:9000;
# fastcgi_index index.php;
# fastcgi_param SCRIPT_FILENAME /scripts$fastcgi_script_name;
# include fastcgi_params;
#}
# deny access to .htaccess files, if Apache's document root
# concurs with nginx's one
#
#location ~ /.ht {
# deny all;
#}
}
# another virtual host using mix of IP-, name-, and port-based configuration
#
#server {
# listen 8000;
# listen somename:8080;
# server_name somename alias another.alias;
# location / {
# root html;
# index index.html index.htm;
# }
#}
# HTTPS server
#
#server {
# listen 443 ssl;
# server_name localhost;
# ssl_certificate cert.pem;
# ssl_certificate_key cert.key;
# ssl_session_cache shared:SSL:1m;
# ssl_session_timeout 5m;
# ssl_ciphers HIGH:!aNULL:!MD5;
# ssl_prefer_server_ciphers on;
# location / {
# root html;
# index index.html index.htm;
# }
#}
server {
listen 6801;
location / {
proxy_pass http://127.0.0.1:6800/;
auth_basic "Restricted";
auth_basic_user_file .htpasswd;
}
}
}
保存之后再次重启 Nginx 服务,如图所示。
发现没有报错,算是配置完成了,接下来进入最后一个步骤——测试!
测试
测试的方法非常简单,打开浏览器,地址栏输入 http://localhost:6801 并访问,跳出如图所示的身份验证框。
我们输入用户名密码,点击登录,出现如图所示的页面。
大家可以多试几次(每次试之前必须清理 cookie,不想清理也可以使用无痕模式,Chrome 和 Firefox 都有),不管密码是什么都是这个错误,光看浏览器显示我们绝对不知道到底是什么原因导致的错误,我们可以看错误日志,错误日志内容如图所示。
注意看第四行,看完第四行答案已经很明显了,用户名密码文件应该放到 D:nginx-1.16.1conf 目录下,我们把文件移进去,如图所示。
然后清理完 cookie,打开浏览器,地址栏输入 localhost:6801,在弹出的身份验证框输入用户名密码,点击登录,跳转到如图所示的页面。
这个页面显示的内容就是 http://localhost:6800 页面显示的内容!