Nginx如何設定使用者驗證頁面

前言

應用程式場景：大概是在內部網站需要外部使用者存取到，同時不能給訪客網站帳號權限，所以在 nginx 層級進行限制。例如外包項目，內部員工有帳號進行文檔的操作，外包員工沒有內部帳號，但需要讓他們能夠看到文檔，所以在nginx 層級設定使用者驗證是最佳最簡單的選擇，多數情況下雇主方不會給外包員工開一個基礎存取權限的帳號。

在nginx 層級進行進行使用者認證的前置條件：需要有對應的密碼建立程序，如apache2-utils（debian，ubuntu）或httpd-tools（rhel / centos / oracle linux）,不同操作系統是不同的軟體。

建立帳號密碼檔

• #使用指令 sudo htpasswd -c /etc/apache2/.htpasswd user1 建立第一個帳戶，然後按下enter 鍵輸入密碼，同樣的命令，沒有-c 參數創建第二個用戶及密碼， -c 參數為創建文件，在第二次及以後的命令中不需要再次建立文件。

• 確認一下檔案及帳號資訊產生成功，使用指令cat /etc/apache2/.htpasswd 檢視檔案內容，應為帳號及加密後的密碼，如：user1 :$apr1$/woc1jnp$kah0ssvn5qesmjttn0e9q0 等。

設定nginx 進行http 基礎使用者驗證

使用auth_basic 指令指定設定受保護區域的名稱，此名稱會顯示在在帳號密碼彈出式上，使用auth_basic_user_file 指令設定帶有帳號密碼資訊的.htpasswd 路徑。例如配置：

location /api {
 auth_basic   "administrator's area";
 auth_basic_user_file /etc/apache2/.htpasswd; 
}

此外，如果某個區塊不想繼承整個認證體系，可以在區塊內設定 auth_basic off,即用戶認證關閉狀態。例如設定：

server {
 ...
 auth_basic   "administrator's area";
 auth_basic_user_file conf/htpasswd;

 location /public/ {
  auth_basic off;
 }
}

透過 ip 位址將認證與存取限制結合

http基本認證可以透過ip位址有效地與存取限制結合。您可以實現至少兩種方案：

• 使用者需要通過身份驗證並且具有ip 存取權

• 使用者需要通過身份驗證或具有ip存取權限

1、使用allow 和deny 指令來允許或限制指定ip 的訪問，例如配置:

location /api {
 #... deny 192.168.1.2;
 allow 192.168.1.1/24;
 allow 127.0.0.1;
 deny all;
}

2、在192.168.1.2 位址以外的網絡，僅授予192.168.1.1/24 的存取權限。注意：allow 和 deny 指令將依照定義的順序套用。

透過ip 和 http 驗證將限制與 satisfy 指令結合。如果將指令設為all，則在用戶端滿足這兩個條件時授予存取權限。如果將指令設為any，則如果客戶端滿足至少一個條件，則授予存取權限,例如配置：

location /api {
 #... satisfy all; 

 deny 192.168.1.2;
 allow 192.168.1.1/24;
 allow 127.0.0.1;
 deny all;

 auth_basic   "administrator's area";
 auth_basic_user_file conf/htpasswd;
}

綜上可以組織成一個完整的範例：

http {
 server {
  listen 192.168.1.23:8080;
  root /usr/share/nginx/html;

  location /api {
   api;
   satisfy all;

   deny 192.168.1.2;
   allow 192.168.1.1/24;
   allow 127.0.0.1;
   deny all;

   auth_basic   "administrator's area";
   auth_basic_user_file /etc/apache2/.htpasswd; 
  }
 }
}

最終效果如圖：

#

以上是Nginx如何設定使用者驗證頁面的詳細內容。更多資訊請關注PHP中文網其他相關文章！