如何搭建Nginx+ElasticSearch实现用户认证并允许跨域CORS调用

本文档详细介绍了如何通过Nginx实现ElasticSearch的基本用户认证,以及配置CORS允许跨域调用。内容包括ElasticSearch的配置,Nginx的安装与密码文件生成,Nginx配置文件编写,以及CORS的原理和预检请求的交互过程。同时,指出了在设置OPTIONS方法时不进行用户认证以确保CORS预检请求的成功。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

ElasticSearch默认没有用户认证,任何人都能访问,这样很不安全,官方的安全解决方案Xpack是收费的,如果只想实现简单的用户认证,可以选择加入Nginx实现基本的用户认证即可。同时因为前端程序需要调用ElasticSearch的REST快速查询数据,所以需要保证ElasticSearch的REST API支持跨域用户调用。

ElasticSearch配置

将ElasticSearch设置为只能本地访问,只需要在配置文件elasticsearch.yaml文件里保证下一行是注释掉的。ElasticSearch默认配置就是只能localhost访问。

#network.host: 0.0.0.0 

同时加入CORS的支持,添加如下字段:

http.cors.enabled : true
http.cors.allow-origin : "*" 
http.cors.allow-methods : OPTIONS, HEAD,GET, POST, PUT, DELETE
http.cors.allow-headers:X-Requested-With,X-Auth-Token,Content-Type,Content-Length,Authorization

注意:

  • http.cors.allow-origin : "*" ,表示允许来自任意源站点的访问,如果想进一步限制,可以设成具体的站点列表,用逗号分隔,比如“a.com, b.com‘’。
  • http.cors.allow-methods定义了允许跨域调用的http方法,只允许REST查询的话,只需要OPTIONS,HEAD,GET即可
  • http.cors.allow-headers定义允许跨域调用的头字段。

Nginx安装配置

生成passwords文件

在ElasticSearch的同一台机器上安装Nginx,安装很简单。因为要在Nginx端作简单的用户认证,需要先生成密码文件(我的工作目录是/home/software/nginx):

htpasswd -c passwords <username>

按提示输入密码即可,当前目录下会生成一个passwords文件,即我们之后让Nginx使用的passwords文件。

注意:也可用openssl来生成passwords文件,不过我在ubuntu 14.0.2上试,发现不好用,认证总是说密码不对,用htpasswd没问题。

Nginx配置

从系统自带配置文件(/etc/nginx/nginx.conf)copy一份出来,自定义自己的nginx_es.conf,如下: 

upstream elasticsearch {

    server 127.0.0.1:9200;

}

location /  {

       //OPTIONS 设置为不用认证,否则CORS的prefight会有问题。其他操作都需要认证。

        limit_except OPTIONS {

                auth_basic "ProtectedElasticsearch";

                auth_basic_user_file passwords;

         }
        proxy_pass http://elasticsearch;
        proxy_redirect off;
    }
  }

启动Nginx

cd /home/software/nginx
nginx -c $PWD/nginx_es.conf

注意:nginx_es.conf和passwords文件必须在同一目录下,因为默认是到配置文件的同目录找passwords文件。

问题debug

如果认证不通过,首先需要查看Nginx的日志,日志地址:/var/log/nginx,access.log和error.log都需要查看。

常用命令

nginx -s stop  快速关闭nginxnginx -s quit  优雅的关闭nginxnginx -s reload 重新加载配置nginx -s
### 解决Nginx中的CORS错误 为了修复Nginx配置中的资源共享(CORS)错误,可以通过调整Nginx配置文件来实现。以下是具体的解决方案: #### 修改Nginx配置文件 编辑Nginx配置文件`/etc/nginx/nginx.conf`或特定站点的配置文件(通常位于`/etc/nginx/conf.d/`目录下),添加以下内容以支持CORS请求[^1]: ```nginx server { listen 80; server_name your-domain.com; location / { add_header 'Access-Control-Allow-Origin' '*'; add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS'; add_header 'Access-Control-Allow-Headers' 'Origin, Content-Type, Accept, Authorization'; if ($request_method = 'OPTIONS') { add_header 'Access-Control-Allow-Origin' '*'; add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS'; add_header 'Access-Control-Allow-Headers' 'Origin, Content-Type, Accept, Authorization'; return 204; } proxy_pass http://backend_server; } } ``` 上述配置实现了以下几个功能: - `add_header 'Access-Control-Allow-Origin' '*'`: 允许任何名访问资源。 - `add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS'`: 定义允许的HTTP方法。 - `if ($request_method = 'OPTIONS') { ... }`: 处理预检请求(preflight request),返回状态码`204 No Content`。 完成修改后,重新加载Nginx配置以使更改生效: ```bash sudo nginx -s reload ``` #### 使用Docker环境中复制Nginx配置 如果正在使用Docker部署Nginx,则可以按照以下方式更新配置文件[^2]: 1. 将新的Nginx配置文件复制到容器内部: ```bash docker cp local_nginx_conf_file nginx_container:/etc/nginx/nginx.conf ``` 2. 进入容器验证配置文件是否正确: ```bash docker exec -it nginx_container bash nginx -t ``` 3. 如果测试通过,重启Nginx服务: ```bash nginx -s reload ``` #### Elasticsearch中的CORS设置(可选) 如果前端应用程序还涉及Elasticsearch API调用,则需要确保Elasticsearch也启用了CORS支持[^3]。具体操作如下: 1. 编辑`/etc/elasticsearch/elasticsearch.yml`文件,添加以下内容: ```yaml http.cors.enabled: true http.cors.allow-origin: "*" http.cors.allow-methods: OPTIONS, HEAD, GET, POST, PUT, DELETE http.cors.allow-headers: X-Requested-With,X-Auth-Token,Content-Type,Content-Length ``` 2. 保存文件重启Elasticsearch服务: ```bash sudo systemctl restart elasticsearch ``` #### Docker镜像的选择与定制 对于生产环境下的Nginx部署,建议基于官方的基础镜像进行扩展,例如`registry.docker.com/library/nginx`[^4]。可以根据实际需求自定义镜像,确保其包含所需的额外组件和优化配置。 ---
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值