Konfigurasi ACL berdasarkan pengesahan pengguna dalam proksi terbalik Nginx

Nginx digunakan secara meluas dalam proksi terbalik, pengimbangan beban dan senario lain. Senario aplikasi ini selalunya memerlukan kawalan akses. Nginx menyediakan kaedah konfigurasi berdasarkan senarai kawalan akses (ACL), yang boleh melaksanakan kawalan akses untuk pengguna yang berbeza, alamat IP yang berbeza, laluan permintaan yang berbeza, dsb. Artikel ini memfokuskan pada kaedah konfigurasi ACL berdasarkan pengesahan pengguna untuk mencapai pengesahan identiti dan kawalan kebenaran.

1. Modul pengesahan pengguna

Nginx menyediakan dua modul pengesahan pengguna: ngx_http_auth_basic_module dan ngx_http_auth_request_module. Yang pertama adalah berdasarkan Pengesahan Asas HTTP, dan pengguna perlu memberikan nama pengguna dan kata laluan dalam pengepala permintaan, manakala yang kedua mengesahkan permintaan melalui pelayan bahagian belakang. Kedua-dua modul pengesahan mempunyai kelebihan dan kekurangan masing-masing. Pilih modul pengesahan yang sesuai dengan anda mengikut keperluan sebenar anda.

2. Proses pengesahan

Proses pengesahan pengguna berdasarkan modul ngx_http_auth_request_module adalah seperti berikut:

1) Pelanggan menghantar permintaan kepada Nginx; 🎜>2) Nginx memintas permintaan dan menghantar permintaan pengesahan ke pelayan bahagian belakang; 3) Pelayan bahagian belakang mengesahkan pengguna dan mengembalikan hasil pengesahan; .


Instance konfigurasi

3. Andaikan aplikasi kami menyediakan antara muka berikut:

1)/admin: Hanya pentadbir boleh mengakses;

2)/ pengguna: Mana-mana pengguna boleh mengakses;

3)/log masuk: Antara muka yang digunakan untuk pengesahan pengguna.

Kini, kami berharap dapat menggunakan Nginx untuk membalikkan proksi dan melaksanakan kawalan akses pada antara muka. Pada masa yang sama, kami berharap hanya pengguna yang disahkan boleh mengakses antara muka. Kami boleh menyemak status log masuk melalui konfigurasi berikut.

location /admin {
    auth_request /auth;
    error_page   401 = /login;
    proxy_pass   http://upstream;
}

location /user {
    auth_request /auth;
    proxy_pass   http://upstream;
}

location = /auth {
    internal;
    proxy_pass   http://upstream/auth;
    proxy_pass_request_body off;
    proxy_set_header Content-Length "";
    proxy_set_header X-Original-URI $request_uri;
}

Dalam konfigurasi ini, kami mentakrifkan tiga lokasi. Antaranya, /admin dan /user masing-masing mewakili antara muka yang memerlukan kawalan akses, dan /auth ialah antara muka yang digunakan untuk pengesahan pengguna. Apabila klien meminta /admin, Nginx memajukan permintaan pengesahan ke /auth melalui arahan auth_request Jika kod ralat 401 dikembalikan, ia melompat ke /login. Pemprosesan /pengguna adalah serupa, kecuali pemprosesan kod ralat tidak ditambahkan. Pemprosesan /auth ialah tempat pengesahan pengguna benar-benar dilaksanakan. Ia memberikan proksi kepada pelayan bahagian belakang untuk pengesahan dan mengembalikan hasil pengesahan.

Dalam contoh ini, /auth ialah antara muka hujung belakang untuk pengesahan pengguna Kami boleh menyokong pelbagai kaedah pengesahan (seperti LDAP, pangkalan data, dll.) dengan menulis kod hujung belakang yang sepadan.

Secara amnya, fungsi ACL Nginx adalah berdasarkan enjin ekspresi biasa yang berkuasa dan beberapa pembolehubah yang dipersetujui Ia merupakan kaedah pelaksanaan kawalan kebenaran yang sangat berkesan untuk pembangun penyelesaian pengesahan pengguna. Sudah tentu, semasa pelaksanaan, konfigurasi yang disasarkan mesti dijalankan mengikut keperluan khusus dan dioptimumkan berdasarkan ciri-ciri senario aplikasi.

Atas ialah kandungan terperinci Konfigurasi ACL berdasarkan pengesahan pengguna dalam proksi terbalik Nginx. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!