如何搭建Nginx+ElasticSearch实现用户认证并允许跨域CORS调用

最新推荐文章于 2025-06-17 00:16:51 发布
最新推荐文章于 2025-06-17 00:16:51 发布
阅读量3.1k 收藏 6
点赞数
CC 4.0 BY-SA版权
分类专栏: 技术日常 文章标签: 技术日常
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/cjwcui/article/details/79563296
本文档详细介绍了如何通过Nginx实现ElasticSearch的基本用户认证,以及配置CORS允许跨域调用。内容包括ElasticSearch的配置,Nginx的安装与密码文件生成,Nginx配置文件编写,以及CORS的原理和预检请求的交互过程。同时,指出了在设置OPTIONS方法时不进行用户认证以确保CORS预检请求的成功。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

ElasticSearch默认没有用户认证,任何人都能访问,这样很不安全,官方的安全解决方案Xpack是收费的,如果只想实现简单的用户认证,可以选择加入Nginx实现基本的用户认证即可。同时因为前端程序需要调用ElasticSearch的REST快速查询数据,所以需要保证ElasticSearch的REST API支持跨域用户调用。

ElasticSearch配置

将ElasticSearch设置为只能本地访问,只需要在配置文件elasticsearch.yaml文件里保证下一行是注释掉的。ElasticSearch默认配置就是只能localhost访问。

#network.host: 0.0.0.0 

同时加入CORS的支持,添加如下字段:

http.cors.enabled : true
http.cors.allow-origin : "*" 
http.cors.allow-methods : OPTIONS, HEAD,GET, POST, PUT, DELETE
http.cors.allow-headers:X-Requested-With,X-Auth-Token,Content-Type,Content-Length,Authorization

注意:

  • http.cors.allow-origin : "*" ,表示允许来自任意源站点的访问,如果想进一步限制,可以设成具体的站点列表,用逗号分隔,比如“a.com, b.com‘’。
  • http.cors.allow-methods定义了允许跨域调用的http方法,只允许REST查询的话,只需要OPTIONS,HEAD,GET即可
  • http.cors.allow-headers定义允许跨域调用的头字段。

Nginx安装配置

生成passwords文件

在ElasticSearch的同一台机器上安装Nginx,安装很简单。因为要在Nginx端作简单的用户认证,需要先生成密码文件(我的工作目录是/home/software/nginx):

htpasswd -c passwords <username>

按提示输入密码即可,当前目录下会生成一个passwords文件,即我们之后让Nginx使用的passwords文件。

注意:也可用openssl来生成passwords文件,不过我在ubuntu 14.0.2上试,发现不好用,认证总是说密码不对,用htpasswd没问题。

Nginx配置

从系统自带配置文件(/etc/nginx/nginx.conf)copy一份出来,自定义自己的nginx_es.conf,如下: 

upstream elasticsearch {

    server 127.0.0.1:9200;

}

location /  {

       //OPTIONS 设置为不用认证,否则CORS的prefight会有问题。其他操作都需要认证。

        limit_except OPTIONS {

                auth_basic "ProtectedElasticsearch";

                auth_basic_user_file passwords;

         }
        proxy_pass http://elasticsearch;
        proxy_redirect off;
    }
  }

启动Nginx

cd /home/software/nginx
nginx -c $PWD/nginx_es.conf

注意:nginx_es.conf和passwords文件必须在同一目录下,因为默认是到配置文件的同目录找passwords文件。

问题debug

如果认证不通过,首先需要查看Nginx的日志,日志地址:/var/log/nginx,access.log和error.log都需要查看。

常用命令

nginx -s stop  快速关闭nginxnginx -s quit  优雅的关闭nginxnginx -s reload 重新加载配置nginx -s
最低0.47元/天 解锁文章

200万优质内容无限畅学
Fliebeat+Kafka+Elasticsearch+Logstash日志分析实战
悦分享
10-08 1283
ELK 不是一款软件,而是 Elasticsearch、Logstash 和 Kibana 三种软件产品的首字母缩写。这三者都是开源软件,通常配合使用,而且又先后归于 Elastic.co 公司名下,所以被简称为 ELK Stack。根据 Google Trend 的信息显示,ELK Stack 已经成为目前最流行的集中式日志解决方案。Elasticsearch:分布式搜索和分析引擎,具有高可伸缩、高可靠和易管理等特点。
小白玩大数据日志分析系统经典入门实操篇FileBeat+ElasticSearch+Kibana 实时日志系统搭建从入门到放弃
Lancker's 优快云 Blog
01-29 1403
大数据实时日志系统搭建 距离全链路跟踪分析系统第二个迭代已经有一小阵子了,由于在项目中主要在写ES查询\Storm Bolt逻辑,都没有去搭建实时日志分析系统,全链路跟踪分析系统采用的开源产品组合为FileBeat、Kafka、LogStash、Elastic、Storm,外加自主前端、自定义日志。今天挤出时间,选用FileBeat、ElasticSearch、Kibana搭建了一个...
elasticsearch+Nginx+django+cas+mysql实现单点登录认证
gwfy007的博客
04-21 1364
elasticsearch+Nginx+django+cas+mysql平台搭建 系统结构功能图: 系统简介: 1.django项目放到了nginx容器中,采用的是nginx+uwsgi的方案。django访问端口5050。 nginx listen 8000端口,访问8000端口会转到5050 端口 2.nginx反向代理elasticsearchelasticsearch...
nginx给kibana、elasticsearch做权限认证
We practice improving every day
09-19 571
最近一直使用logstash+elasticsearch+kibana作日志分析,通过kibana来查看报表的各种panel,但是每次查看都需要拨线上的VPN,比较麻烦,于是就想到用nginx来给kibana和elasticsearch作个权限认证认证成功的效果如下: 呵呵,得瑟下。好了,废话不多说,直接上配置。 1、配置nginx密码:nginx可以为网站或目录甚至特定的文件设...
Nginx配置资源共享(CORS)的详细示例,涵盖常见场景及安全实践
最新发布
csdn_tom_168的博客
06-17 637
本文提供了Nginx配置资源共享(CORS)的完整方案,包含基础配置、安全实践和高级场景。主要内容包括:基础CORS配置允许所有源)、安全配置(限制特定源)、携带Cookie/认证信息的实现方法、自定义响应头暴露配置,以及安全加固建议。文章还介绍了配置验证方法、常见问题排查技巧,强调最小权限原则和日志监控的重要性。这些配置示例覆盖了CORS的核心场景,可根据实际需求扩展JWT验证、动态源白名单等功能。建议通过浏览器工具和安全扫描定期审计策略。
使用nginx的http验证功能对elasticsearch加密
smallanonymous的博客
12-13 3602
前言 这篇文章是https://www.elastic.co/blog/playing-http-tricks-nginx的部分翻译,对像我这样的小白学习nginxelasticsearch有些许帮助,ps:翻译好难。。。e文好的同学还是去看原文吧。。。 正文 Elasticsearch默认是完全暴露在互联网上的RESTful服务接口。 这样做的好处是:web开发人员可以很快熟悉它的API,很
ElasticSearch 通过nginx做HTTP验证
weixin_30820077的博客
03-19 547
ElasticSearch的设置文件中如果设置了 network.host: 0.0.0.0 则表示ElasticSearch服务是公开的任何ip都可以访问ElasticSearch服务。这样肯定是不安全的。 我们可以通过安装X-Pack这个然间来做对ElasticSearch的登陆验证,但是这个是收费的只可以免费使用30天。 还有一种方法也是我们常用就是使用nginx的反向代...
nginx 反向代理 ElasticSearch es
m0_67390788的博客
04-21 2580
本文讲述如何使用nginx代理kibana 1、更改kibana.yml文件添加前缀 2、nginx添加配置 location /kibana/ { proxy_pass http://127.0.0.1:5601/; rewrite ^/elk/(.*)$ /$1 break; proxy_set_header X-Real-IP $remote_addr; proxy_set_header Host $host:$serve.
【Linux视频直播流媒体服务器搭建秘籍】:全面解析nginx+rtmp+ffmpeg的深度集成与性能优化
![【Linux视频直播流媒体服务器搭建秘籍】:全面解析nginx+rtmp+ffmpeg的深度集成与性能优化]...接着,文章深入探讨了Nginx、RTMP与FFmpeg的集成,
探索SpringCloud+ES实现高性能全文检索
雾猩CODER的博客
11-15 1335
记录SpringCloud+ES实现高性能全文检索的教程ES搭建:1、下载ES安装包2、解压安装包,在安装目录的bin目录下执行3、安装对应版本的Kibana4、下载对应的elasticsearch-analysis-ik分词器补充知识:ES集成到Springboot项目: SpringCloud基础框架搭建略过。。 ES搭建: 什么是Elasticsearch? (You know, for search and analysis) Elasticsearch是Elastic Stack核心的分布
nginx 访问配置_nginx配置用户访问认证
weixin_39622123的博客
11-29 225
nginx 下,提供了 ngx_http_auth_basic_module 模块实现用户只有输入正确的用户名密码才允许访问web内容。默认情况下,nginx 已经安装了该模块。所以整体的一个过程就是先用第三方工具设置用户名、密码(其中密码已经加过密),然后保存到文件中,接着在 nginx 配置文件中根据之前事先保存的文件开启访问验证。应用案例:辣条心血来潮,不想让他人看见博客的登...
Elasticsearch 未授权访问漏洞修复
LIARRR的博客
02-09 8959
es Elasticsearch 未授权访问漏洞修复 X-Pack
ElasticSearch未授权访问
打代码的小女孩
11-17 7697
0x00 漏洞描述: Elasticsearch是一款java编写的企业级搜索服务。越来越多的公司使用ELK作为日志分析,启动此服务默认会开放9200端口,可被非法操作数据 0x01 一些利用的URL http://101.198.161.130:9200/_cat/indices/ http://101.198.161.130:9200/_plugin/head/ http://101.198....
Elasticsearch教程,Elasticsearch安全篇,通过Nginx http basic 限制访问
weixin_34301132的博客
02-15 1150
2019独角兽企业重金招聘Python工程师标准>>> ...
elasticsearch未授权访问漏洞怎么在日常的测试中发现
qq_42097777的博客
07-27 2454
一般测试中我们会对目标的地址进行端口扫描,如果扫描到9200端口(ElasticSearch端口(默认9200)。 我们直接访问看到是这个页面,就是存在这种漏洞:
Nginx 配置Kibana和Elasticsearch转发和认证
爱码士的博客
10-29 920
前言 默认的,kibana地址端口为5601,elasticsearch地址端口为9200,有时候不希望展示端口信息。这个时候可以使用nginx完成转发。 配置Kibana 首先需要修改kibana的配置文件kibana.yml添加如下信息 server.basePath: "/kibana" 注意:空格 然后添加location location /kibana/ { auth_basic "kibana"; auth_basic_user_file /etc/nginx/pass_fi
利用nginx增强elasticseach http安全性
08-08 979
背景 最近公司安全检查,elasticsearch http端口处于开放状态,虽然在内网但依然风险很大.解决安全问题的套路基本上有两个:一个是官方的shield;还有一个是search guard.shield需要license,果断放弃.实际考察了一下search guard.东西不错但配置繁琐些,需要生产证书.而且不支持关闭node验证.公司大部分程序是java client开发的,这就
elasticsearch配置文件中http.cors.x字段有哪些用途和用法
zhoudatianchai的专栏
02-24 1541
#是否支持,默认为false http.cors.enabled: false #当设置允许,默认为*,表示支持所有名,如果我们只是允许某些网站能访问,那么可以使用正则表达式。比如只允许本地地址。 /https?:\/\/localhost(:[0-9]+)?/ http.cors.allow-origin: * #浏览器发送一个“预检”OPTIONS请求,以确定CORS设置。最大年龄定义多久的结果应该缓存。默认为1728000(20天) http.cors.max-age: 1728000 #.
elasticsearch5.x 集群管理工具head插件安装、nginx配置外网访问
kelin_liu的博客
05-27 3104
一、下载安装包 下载Elasticsearch 5.x 下载地址:https://www.elastic.co/downloads/elasticsearch zip和tar格式是各种系统都通用的,解压之后启动Elasticsearch即可。 下载elasticsearch-head 下载地址:https://github.com/mobz/elasticsearch
nginx cors error
05-13
### 解决Nginx中的CORS错误 为了修复Nginx配置中的资源共享(CORS)错误,可以通过调整Nginx配置文件来实现。以下是具体的解决方案: #### 修改Nginx配置文件 编辑Nginx配置文件`/etc/nginx/nginx.conf`或特定站点的配置文件(通常位于`/etc/nginx/conf.d/`目录下),添加以下内容以支持CORS请求[^1]: ```nginx server { listen 80; server_name your-domain.com; location / { add_header 'Access-Control-Allow-Origin' '*'; add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS'; add_header 'Access-Control-Allow-Headers' 'Origin, Content-Type, Accept, Authorization'; if ($request_method = 'OPTIONS') { add_header 'Access-Control-Allow-Origin' '*'; add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS'; add_header 'Access-Control-Allow-Headers' 'Origin, Content-Type, Accept, Authorization'; return 204; } proxy_pass http://backend_server; } } ``` 上述配置实现了以下几个功能: - `add_header 'Access-Control-Allow-Origin' '*'`: 允许任何名访问资源。 - `add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS'`: 定义允许的HTTP方法。 - `if ($request_method = 'OPTIONS') { ... }`: 处理预检请求(preflight request),返回状态码`204 No Content`。 完成修改后,重新加载Nginx配置以使更改生效: ```bash sudo nginx -s reload ``` #### 使用Docker环境中复制Nginx配置 如果正在使用Docker部署Nginx,则可以按照以下方式更新配置文件[^2]: 1. 将新的Nginx配置文件复制到容器内部: ```bash docker cp local_nginx_conf_file nginx_container:/etc/nginx/nginx.conf ``` 2. 进入容器验证配置文件是否正确: ```bash docker exec -it nginx_container bash nginx -t ``` 3. 如果测试通过,重启Nginx服务: ```bash nginx -s reload ``` #### Elasticsearch中的CORS设置(可选) 如果前端应用程序还涉及Elasticsearch API调用,则需要确保Elasticsearch也启用了CORS支持[^3]。具体操作如下: 1. 编辑`/etc/elasticsearch/elasticsearch.yml`文件,添加以下内容: ```yaml http.cors.enabled: true http.cors.allow-origin: "*" http.cors.allow-methods: OPTIONS, HEAD, GET, POST, PUT, DELETE http.cors.allow-headers: X-Requested-With,X-Auth-Token,Content-Type,Content-Length ``` 2. 保存文件重启Elasticsearch服务: ```bash sudo systemctl restart elasticsearch ``` #### Docker镜像的选择与定制 对于生产环境下的Nginx部署,建议基于官方的基础镜像进行扩展,例如`registry.docker.com/library/nginx`[^4]。可以根据实际需求自定义镜像,确保其包含所需的额外组件和优化配置。 ---
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值