nginx访问控制、用户认证、https

最新推荐文章于 2025-09-28 11:50:02 发布
原创 最新推荐文章于 2025-09-28 11:50:02 发布 · 222 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细介绍了Nginx的访问控制、用户认证及HTTPS配置方法。包括如何通过allow和deny指令控制访问,使用auth_basic实现基本认证,并生成及配置SSL证书以启用HTTPS。

nginx访问控制、用户认证、https

访问控制
用于location段
allow:设定允许哪台或哪些主机访问,多个参数间用空格隔开
deny:设定禁止哪台或哪些主机访问,多个参数间用空格隔开

例子
拒绝192.168.31.140访问

[root@czh ~]# vim /usr/local/nginx/conf/nginx.conf
        location /text {
            deny 192.168.31.140
            echo "abc";
        }
[root@czh ~]# nginx -s reload

发现访问被拒绝
[root@czh ~]# curl http://192.168.31.140
<html>
<head><title>403 Forbidden</title></head>
<body>
<center><h1>403 Forbidden</h1></center>
<hr><center>nginx/1.20.1</center>
</body>
</html>

然后禁止除了192.168.31.140以外的所有ip的访问

[root@czh ~]# vim /usr/local/nginx/conf/nginx.conf
        location /text {
            allow 192.168.31.140
            deny all;    //禁止所有
            echo "abc";
        }
[root@czh ~]# nginx -s reload

然后测试
用虚拟机查看
[root@czh ~]# curl http://192.168.31.140/text
abc
再用网页打开

在这里插入图片描述

用户认证

auth_basic "欢迎信息";
auth_basic_user_file "/path/to/user_auth_file"

user_auth_file内容格式为
username:password

这里的密码为加密后的密码串,建议用htpasswd来创建此文件:

htpasswd -c -m /path/to/.user_auth_file USERNAME

实际操作

[root@czh ~]# yum -y install httpd-tools
[root@czh ~]# htpasswd -c -m /usr/local/nginx/conf/.user_auth czh
New password: 
Re-type new password: 
Adding password for user czh
查看
[root@czh ~]# vim /usr/local/nginx/conf/.user_auth
czh:$apr1$7vfdWUAA$St2IsO8y9HgNrQo3Y6r871   //如果密码忘记的话,重新在覆盖一个就行了

[root@czh ~]# vim /usr/local/nginx/conf/nginx.conf
        location /text {
            auth_basic    "test";
            auth_basic_user_file /usr/local/nginx/conf/.user_auth;
        echo "abc";
        }
[root@czh ~]# nginx -s reload

在这里插入图片描述在这里插入图片描述修改位置
直接放在http下面

http {
        auth_basic    "test";
        auth_basic_user_file /usr/local/nginx/conf/.user_auth;

再次尝试,发现可以,不过如果能直接进去,需要把浏览器数据清一下。
在这里插入图片描述

https的配置

首先需要生成一个证书的签署,再在nginx.conf里面配置

生成证书

在CA生成一对密钥
[root@czh ~]# mkdir /etc/pki/CA
[root@czh ~]# cd /etc/pki/CA/
[root@czh CA]# mkdir private
[root@czh CA]# umask 077;openssl genrsa -out private/cakey.pem 2048
Generating RSA private key, 2048 bit long modulus (2 primes)
.................................................................+++++
...................................................................................+++++
e is 65537 (0x010001)

CA生成自签署的证书
[root@czh CA]# openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 365
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:HB
Locality Name (eg, city) [Default City]:WH
Organization Name (eg, company) [Default Company Ltd]:czh
Organizational Unit Name (eg, section) []:czh
Common Name (eg, your name or your server's hostname) []:czh.example.com
Email Address []:1@1.com

生成密钥
[root@czh CA]# mkdir certs newcerts crl
[root@czh CA]#  touch index.txt && echo 01 > serial
[root@czh CA]# cd /usr/local/nginx/
[root@czh nginx]# mkdir ssl
[root@czh nginx]# cd ssl/
[root@czh ssl]# ls
[root@czh ssl]# (umask 077;openssl genrsa -out nginx.key 2048)
Generating RSA private key, 2048 bit long modulus (2 primes)
...+++++
............................................................................................+++++
e is 65537 (0x010001)
[root@czh ssl]# openssl req -new -key nginx.key -days 365 -out nginx.csr
Ignoring -days; not generating a certificate
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:HB
Locality Name (eg, city) [Default City]:WH
Organization Name (eg, company) [Default Company Ltd]:czh  
Organizational Unit Name (eg, section) []:czh
Common Name (eg, your name or your server's hostname) []:czh.example.com
Email Address []:1@1.com

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:12345678
An optional company name []:12345678
[root@czh ssl]# ls
nginx.csr  nginx.key
[root@czh ssl]# openssl ca -in nginx.csr -out nginx.crt -days 365
Using configuration from /etc/pki/tls/openssl.cnf
Check that the request matches the signature
Signature ok
Certificate Details:
        Serial Number: 1 (0x1)
        Validity
            Not Before: Jun 27 10:46:05 2021 GMT
            Not After : Jun 27 10:46:05 2022 GMT
        Subject:
            countryName               = CN
            stateOrProvinceName       = HB
            organizationName          = czh
            organizationalUnitName    = czh
            commonName                = czh.example.com
            emailAddress              = 1@1.com
        X509v3 extensions:
            X509v3 Basic Constraints: 
                CA:FALSE
            Netscape Comment: 
                OpenSSL Generated Certificate
            X509v3 Subject Key Identifier: 
                3E:6B:A0:0E:7F:0B:92:19:3E:23:BB:38:E9:E0:48:61:69:A8:D4:93
            X509v3 Authority Key Identifier: 
                keyid:FF:C8:1E:ED:7F:34:4C:7B:9A:DB:75:1D:87:AD:31:F3:8F:4D:83:41

Certificate is to be certified until Jun 27 10:46:05 2022 GMT (365 days)
Sign the certificate? [y/n]:y


1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated
[root@czh ssl]# ls
nginx.crt  nginx.csr  nginx.key

    server {
        listen       443 ssl;
        server_name  czh.example.com;

        ssl_certificate      /usr/local/nginx/ssl/nginx.crt;
        ssl_certificate_key  /usr/local/nginx/ssl/nginx.key;

        ssl_session_cache    shared:SSL:1m;
        ssl_session_timeout  5m;

        ssl_ciphers  HIGH:!aNULL:!MD5;
        ssl_prefer_server_ciphers  on;

        location / {
            root   html;
            index  index.html index.htm;
        }
    }

}
[root@czh html]# nginx -s reload
[root@czh html]# ss -antl
State   Recv-Q  Send-Q   Local Address:Port   Peer Address:Port Process 
LISTEN  0       128            0.0.0.0:22          0.0.0.0:*            
LISTEN  0       128            0.0.0.0:443         0.0.0.0:*            
LISTEN  0       128            0.0.0.0:9000        0.0.0.0:*            
LISTEN  0       128            0.0.0.0:80          0.0.0.0:*            
LISTEN  0       128               [::]:22             [::]:*            
LISTEN  0       80                   *:3306              *:*

访问好了
在这里插入图片描述

书在哪
关注
【linux】Nginx服务常用扩展功能:权限控制Allow,Deny、用户认证Auth_user、连接限制、请求限制
走向CTO的路上...
03-27 1162
Nginx提供了许多常用的扩展功能,包括权限控制、用户认证、连接限制和请求限制。这只是一个简单的示例,实际应用中应该使用更安全和复杂的认证方式,例如使用数据库存储用户凭据信息,使用哈希函数对密码进行加密等。等指令,可以限制来自客户端的请求速率和请求/响应的大小,防止过多的请求影响服务器的性能或导致资源耗尽。这些指令可以限制来自客户端的请求速率,以及限制请求和响应的大小,以保护服务器免受恶意攻击和滥用。指令,可以要求用户提供用户名和密码,只有经过身份验证的用户才能访问受保护的资源。
nginx访问控制用户认证https
2201_75894418的博客
09-26 1385
deny all;-----
nginx用户认证 | https | 监控状态界面
只是个人笔记,请见谅
08-11 468
[root@zyy ~]# htpasswd -c -m /usr/local/nginx/conf/.user_auth_file zyy [root@zyy ~]# cd /usr/local/nginx/conf/ [root@zyy conf]# ls -a [root@zyy conf]# ls -a .user_auth_file [root@zyy ~]# cd /usr/local/nginx/html/ [root@zyy html]# mkdir test [root@
Docker 配置Nginx遇到的见鬼问题,一个分号引发的灾难!
xplidelphi的专栏
08-20 618
问题1: 操作系统是centos 8.4 ,顺利安装docker后,pull nginx也正常。 单独运行nginx是正常的。 但是,加载用户的数据后就不灵了。 用户信息的加载是这样的: 设置了一个共享文件夹,挂载到/home/winshare目录下。 启动命令: docker run -itd --name nginx -p 80:80 -v \ /home/winshare/test20210820/nginx.conf:/etc/nginx/nginx.conf \ -v /home/
nginx配置文件里user只能是root,否则报403错误
热门推荐
vanilla_he的博客
01-30 2万+
yum 一个全新的nginx,版本是1.12.2的 直接启动,浏览器输入localhost访问的nginx页面 1、当我将nginx.conf配置文件里root 路径改成/root/html/index.html #mkdir /root/html #echo hello > /root/html/index.html (不用改访问目录权限。不放心对照原始成功的/...
nginx访问控制的两种方法
09-30
总结来说,Nginx访问控制的两种方法各有优势和适用场景。基于HTTP Basic Auth的认证提供了针对用户认证方式,而基于IP的访问控制则提供了针对网络地址的直接控制。在实际应用中,可以将这两种方法结合使用,以达到...
Web安全Nginx基于HTTP基本认证的location权限控制:htpasswd用户凭证配置与访问保护实施指南
最新发布
11-05
内容概要:本文介绍了如何在 Nginx 中通过 htpasswd 实现基于账号密码的访问控制,重点讲解了在 location 块中启用 basic 认证的配置方法。通过设置 auth_basic 和 auth_basic_user_file 指令,限制对指定路径(如根...
nginx用户认证访问控制
踏 浪的博客
03-24 1392
一、为什么要做用户认证访问控制? 对于刚装好的 nginx 服务而言存在以下问题: 用户通过浏览器来访问资源时,不需要登录(也就是说 只要网络能通,就能浏览其nginx提供的网页资源,这就导致数据不安全的情况)。 二、用户认证访问控制的好处 可以指定哪些计算机可以访问我的 nginx 服务, 访问时需要提供用户名和密码 三、具体例子 需求: ① ...
Nginx 访问控制用户认证HTTPS配置实操手册
Akshsjsjenjd的博客
09-28 980
本文档基于实际环境三台主机:nginx 服务器)详细记录Nginx三大核心功能的配置流程与验证结果,适用于服务器安全加固与HTTPS部署场景。基于段配置IP级别的访问权限,结合模块监控服务状态,核心是(允许)和(拒绝)指令,匹配规则为“先定义先生效”。在的段添加指令,拒绝(hrz2)访问,配置如下: 验证结果:hrz2访问被拒绝(返回403 Forbidden,无权限访问): hrz3访问正常(未被拒绝,返回网页内容): 场景2:仅允许特定IP访问(如仅允许hrz2) 需先通过指定允许的IP
【故障集合】综合架构之nginx服务错误集合(持续补充中)
wwj0407的博客
06-05 4085
1、Linux或windows #使用域名 hosts(linux或windows) 没有解析 [root@web01 /etc/nginx]# curl blog.oldboy.com <a href="https://www.afternic.com/forsale/blog.oldboy.com?utm_source=TDFS_DASLNC&amp;ut...
Nginx搭建Http文件服务器及配置
冰之杍的博客
06-03 9259
目录Nginx先进行安装(二选一即可)1.源码方式安装或二进制安装Nginx2.Yum安装Nginx配置Ngninx进行目录浏览重启Nginx配置参数说明 Nginx先进行安装(二选一即可) 安装Nginx,这里我只是为了演示Http文件服务器,因此直接采用第二种yum安装方式,方便。 1.源码方式安装或二进制安装Nginx 参考: https://blog.youkuaiyun.com/jxlhljh/article/details/116664519 2.Yum安装Nginx ##添加源 sudo rpm -Uv
nginx虚拟机无法访问解决
weixin_30814329的博客
11-24 537
1、重要:修改配置文件使用虚拟机,否则怎么配置都不生效,添加如下用户 [root@host-10-1-1-161 html]# ll /etc/nginx/nginx.conf -rw-r--r-- 1 root root 345 Aug 26 10:41 /etc/nginx/nginx.conf [root@host-10-1-1-161 html]# vi /etc/...
JAVA 使用httpClient 请求返回 nginx 403 Forbidden 原因及解决方法
qq_41632880的博客
03-03 3764
使用httpClient.execute方法调用对方接口时返回: <html> <head><title>403 Forbidden</title></head> <body> <center><h1>403 Forbidden</h1></center> <hr><center>nginx/1.17.4</center> </body>
Nginx配置https证书不用输入密码
algebra007的博客
04-25 3086
Nginx配置https证书不用输入密码使用OpenSSL生成自签名证书传统方式存在的问题自动化脚本 使用OpenSSL生成自签名证书 在NGINX内配置https反向代理的时候,需要*.key和*.crt证书。这些证书在正式环境里面是需要找CA机构购买的,但是在测试开发环境中或者内部网络中,可以使用OpenSSL生成自签名证书。 传统方式 默认的OpenSSL生成方式如下: 生成key #建立服务器私钥生成RSA密钥 openssl genrsa -des3 -out server.key 1024
nginx配置访问密码,输入用户名和密码才能访问
菲宇运维
09-22 2万+
使用nginx搭建的站点,如果不想让所有人都能正常访问,那么可以设置访问认证,只有用户输入正确的用户名和密码才能正常访问。效果如下: nginx 开启访问验证 在 nginx 下,提供了 ngx_http_auth_basic_module 模块实现让用户只有输入正确的用户名密码才允许访问web内容。默认情况下,nginx 已经安装了该模块。所以整体的一个过程就是先用第三方工具( htpa...
小米路由修改服务器密码,小米路由器怎么改密码?
weixin_29518761的博客
08-12 2578
在本文中,将给大家详细介绍,用电脑修改/设置小米路由器密码的方法。重要提示:(1)、如果你现在遇到的问题是,把你小米路由器的管理密码忘了,无法登录到设置界面。那么,请你阅读下面的文章,查看忘记管理密码时的解决办法。(2)、家里没有电脑的小伙伴,请你阅读下面的文章,查看用手机设置小米路由器密码的方法。(3)、如果你小米路由器连不上网,可以根据下面文章中介绍的方法,来设置它连接宽带上网。修改密码步骤:...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值