Contrôle d'accès basé sur ACL dans le proxy inverse Nginx

Avec le développement continu des applications Web, Nginx est devenu l'un des serveurs Web les plus populaires et est largement utilisé dans de nombreuses entreprises. Parmi eux, le proxy inverse Nginx est l'une des topologies de déploiement les plus couramment utilisées pour les applications Web. Bien que Nginx fournisse de puissantes fonctions de proxy inverse, sa prise en charge de la sécurité doit encore être améliorée. Par conséquent, le contrôle d’accès basé sur ACL est devenu une méthode réalisable pour protéger les applications Web.

1. ACL Introduction

ACL (Access Control List) est une liste utilisée pour le contrôle d'accès, qui contient un certain nombre d'éléments d'utilisateur ou de groupe comprenant d'identifiants. Le rôle de l'ACL est de contrôler l'accès aux ressources en fonction de règles. Dans Nginx, l'ACL peut être utilisée pour restreindre l'accès à des adresses ou URL spécifiques, contrôler l'utilisation des en-têtes HTTP ou des méthodes de requête, etc.

L'ACL de Nginx se compose de deux parties :

· Variables : utilisées pour extraire des informations sur les attributs de configuration, d'utilisateur ou de requête.

· Directive : Une expression logique composée de variables et d'opérateurs utilisés pour faire correspondre les attributs de l'utilisateur ou de la requête.

Les variables ACL peuvent provenir de plusieurs sources, telles que l'adresse IP de l'utilisateur, les en-têtes de requête HTTP ou le corps des requêtes POST. Nginx fournit un grand nombre de variables pour prendre en charge différents scénarios d'application. Voici quelques variables Nginx couramment utilisées :

$remote_addr : adresse IP du client.

$http_user_agent : Agent client pour les requêtes HTTP.

$http_referer : L'adresse source de la requête HTTP.

$request_method : méthode de requête HTTP (GET, POST, DELETE, etc.).

$request_uri : URI de la requête HTTP. Le contrôle d'accès basé sur l'ACL est généralement divisé en deux étapes. Tout d’abord, vous devez définir des règles qui regroupent les utilisateurs en groupes et définir les attributs qui leur sont associés. Deuxièmement, ces règles doivent être appliquées à la configuration du proxy inverse Nginx pour restreindre l'accès des utilisateurs.

Dans Nginx, vous pouvez utiliser la directive "map" pour définir les règles ACL. Par exemple, la configuration suivante définit une règle ACL nommée "acl_group" :

2. map $remote_addr $acl_group {
       default   "guest";
       192.168.1.10  "admin";
       192.168.1.11  "admin";
       192.168.1.12  "user";
       192.168.1.13  "user";
   }

Dans la configuration ci-dessus, tous les utilisateurs d'autres adresses IP sont considérés comme des "invités" et l'adresse IP de l'utilisateur est considérée comme "admin" " ou " utilisateur " respectivement.

Ensuite, vous pouvez utiliser la directive "if" combinée à des expressions logiques pour appliquer les règles ACL à la configuration Nginx. Par exemple, la configuration suivante utilise des règles ACL pour contrôler l'accès aux deux chemins "/admin" et "/user" :

location /admin {
    if ($acl_group != "admin") {
        return 403;
    }
    # 正常处理请求
}

location /user {
    if ($acl_group != "user") {
        return 403;
    }
    # 正常处理请求
}

Dans la configuration ci-dessus, lorsque l'adresse IP de l'utilisateur n'est pas définie dans " acl_group" admin" ou "user", un code d'état HTTP 403 sera renvoyé, interdisant l'accès aux chemins "/admin" et "/user". Le contrôle d'accès basé sur ACL est un moyen efficace de protéger la sécurité des applications Web. Dans Nginx, l'ACL peut être utilisée pour restreindre l'accès à des adresses ou URL spécifiques, contrôler l'utilisation des en-têtes HTTP ou des méthodes de requête, etc. En définissant des règles ACL et en utilisant la directive « if », vous pouvez appliquer des règles ACL à la configuration du proxy inverse Nginx pour restreindre l'accès des utilisateurs et améliorer la sécurité de votre application Web.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!