Nginx 之访问认证

2020-02-11 18:06:01 浏览数 (1)

我们都知道,Web 服务器程序部署成功并启动之后,都是可以公开访问的,要想控制成只有部分人可以访问必然需要配置一下访问认证,实现访问认证的方法有很多,主要有两种:Flask-OAuth 和 Nginx,Flask-OAuth 以前讲过,今天我就来讲一下 Nginx 配置访问认证。这里以配置 Scrapyd 的访问认证为例进行讲解。

为什么 Nginx 能做访问认证

首先来看一下为什么 Nginx 能做访问认证,Nginx 之所以可以做访问认证,是因为它具有一项非常强大的功能——反向代理!那么我们就先来说说这个反向代理究竟是什么鬼玩意。

反向代理(Reverse Proxy)方式是指以代理服务器来接受 Internet 上的连接请求,然后将请求转发给内部网络上的服务器,并将从服务器上得到的结果返回给 Internet 上请求连接的客户端,此时代理服务器对外就表现为一个反向代理服务器。

知道了反向代理,访问认证的逻辑也就水落石出了,就是在请求转发给内网服务器之前做一个判断,认证口令正确,就把请求转发给内网服务器,认证口令错误,就重新进行验证或者直接拒绝访问。

Nginx 如何配置访问认证

知道了反向代理逻辑,接下来就是 Nginx 如何配置访问认证,难道要从头开始写,如果真的要从头开始写那我宁愿选择 Flask-OAuth。其实反向代理的逻辑早就被 Nginx 给封装好了,我们只要去配置文件里面填写必要的信息就完事了。

修改配置文件

接着就是修改配置文件,网上教程都是这么说的吧。在文件末尾添加如下内容:

代码语言:javascript复制
http {
    server {
                listen 6801;
                location / {
                        proxy_pass http://127.0.0.1:6800/;
                        auth_basic "Restricted";
                        auth_basic_user_file /etc/nginx/conf.d/.htpasswd;
                }
    }
}

然后使用 htpasswd 命令创建用户名密码文件,这里假设用户名是 admin,命令如下:

htpasswd -c .htpasswd admin。

接着就会提示输入密码,输入两次之后,就会生成这个用户名密码文件,然后把文件移动到 /etc/nginx/conf.d/ 里面。最后输入如下命令:

sudo nginx -s reload

运行这个命令来重启 Nginx 服务就完事了。

可是这个教程是针对 Linux 系统而言的,我要讲解的是针对 Windows 系统。所以上述教程也只能作为参考,不能照搬!

我们需要针对 Windows 系统的实际情况对上述教程略作修改,修改后向配置文件里面添加如下内容:

代码语言:javascript复制
http {
   server {
       listen 6801;
       location / {
           proxy_pass http://127.0.0.1:6800/;
           auth_basic "Restricted";
           auth_basic_user_file .htpasswd;
      }
  }
}

然后保存配置文件,打开 cmd,切换目录到 Nginx 目录(我的是 D:nginx-1.16.1),向上面所说的一样执行创建用户名密码文件命令,然后输入以下命令:

nginx -s reload

运行这个命令重启服务会发现有一个错误,如图所示。

稍微翻译一下,"http" 指示是重复的……第 118 行。问题很明显,之前就出现了 http。不管了,先去配置文件里面搜索一下看看,搜索结果如图所示。

注意红色箭头的指向,有两个 http,那么我们对它们进行合并,下面直接给出合并之后的配置文件内容(看一下内容应该知道是怎么合并的了)。

代码语言:javascript复制
#user  nobody;
worker_processes  1;

#error_log  logs/error.log;
#error_log  logs/error.log  notice;
#error_log  logs/error.log  info;

#pid        logs/nginx.pid;


events {
    worker_connections  1024;
}


http {
    include       mime.types;
    default_type  application/octet-stream;

    #log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
    #                  '$status $body_bytes_sent "$http_referer" '
    #                  '"$http_user_agent" "$http_x_forwarded_for"';

    #access_log  logs/access.log  main;

    sendfile        on;
    #tcp_nopush     on;

    #keepalive_timeout  0;
    keepalive_timeout  65;

    #gzip  on;

    server {
        listen       80;
        server_name  localhost;

        #charset koi8-r;

        #access_log  logs/host.access.log  main;

        location / {
            root   html;
            index  index.html index.htm;
        }

        #error_page  404              /404.html;

        # redirect server error pages to the static page /50x.html
        #
        error_page   500 502 503 504  /50x.html;
        location = /50x.html {
            root   html;
        }

        # proxy the PHP scripts to Apache listening on 127.0.0.1:80
        #
        #location ~ .php$ {
        #    proxy_pass   http://127.0.0.1;
        #}

        # pass the PHP scripts to FastCGI server listening on 127.0.0.1:9000
        #
        #location ~ .php$ {
        #    root           html;
        #    fastcgi_pass   127.0.0.1:9000;
        #    fastcgi_index  index.php;
        #    fastcgi_param  SCRIPT_FILENAME  /scripts$fastcgi_script_name;
        #    include        fastcgi_params;
        #}

        # deny access to .htaccess files, if Apache's document root
        # concurs with nginx's one
        #
        #location ~ /.ht {
        #    deny  all;
        #}
    }


    # another virtual host using mix of IP-, name-, and port-based configuration
    #
    #server {
    #    listen       8000;
    #    listen       somename:8080;
    #    server_name  somename  alias  another.alias;

    #    location / {
    #        root   html;
    #        index  index.html index.htm;
    #    }
    #}


    # HTTPS server
    #
    #server {
    #    listen       443 ssl;
    #    server_name  localhost;

    #    ssl_certificate      cert.pem;
    #    ssl_certificate_key  cert.key;

    #    ssl_session_cache    shared:SSL:1m;
    #    ssl_session_timeout  5m;

    #    ssl_ciphers  HIGH:!aNULL:!MD5;
    #    ssl_prefer_server_ciphers  on;

    #    location / {
    #        root   html;
    #        index  index.html index.htm;
    #    }
    #}
    server {
        listen 6801;
        location / {
            proxy_pass http://127.0.0.1:6800/;
            auth_basic "Restricted";
            auth_basic_user_file .htpasswd;
        }
    }

}

保存之后再次重启 Nginx 服务,如图所示。

发现没有报错,算是配置完成了,接下来进入最后一个步骤——测试!

测试

测试的方法非常简单,打开浏览器,地址栏输入 http://localhost:6801 并访问,跳出如图所示的身份验证框。

我们输入用户名密码,点击登录,出现如图所示的页面。

大家可以多试几次(每次试之前必须清理 cookie,不想清理也可以使用无痕模式,Chrome 和 Firefox 都有),不管密码是什么都是这个错误,光看浏览器显示我们绝对不知道到底是什么原因导致的错误,我们可以看错误日志,错误日志内容如图所示。

注意看第四行,看完第四行答案已经很明显了,用户名密码文件应该放到 D:nginx-1.16.1conf 目录下,我们把文件移进去,如图所示。

然后清理完 cookie,打开浏览器,地址栏输入 localhost:6801,在弹出的身份验证框输入用户名密码,点击登录,跳转到如图所示的页面。

这个页面显示的内容就是 http://localhost:6800 页面显示的内容!

0 人点赞