为网站的内部页面添加Basic认证

最新推荐文章于 2024-07-15 23:59:44 发布
原创 最新推荐文章于 2024-07-15 23:59:44 发布 · 3.3k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍如何在Node.js中使用connect-basic-auth模块实现基本的身份验证功能,包括安装配置及如何仅对特定页面启用验证。

我为网站添加了Graphite,awstats的统计,所以就需要做一个页面,存放一些链接,以方便访问。但是这个页面不希望被其他人访问到,所以就需要做一些简单的验证--Basic Auth。

Nodejs的验证模块,比较有名的是connect-auth,不过这个太重量级的,所以我用的是很有针对性的,轻量级的认证模块,connect-basic-auth。这个模块只有一个源文件。。很简单。。

好,闲话少说。


1) 安装:npm install connect-basic-auth --save。

2) 从名字就可以看出,他是ExpressJs/ConnectJs的一个中间件,这是他的所有源代码:

module.exports = function (callback, realm) {
    if (!callback || typeof callback != 'function') {
        throw new Error('You must provide a function ' +
        'callback as the first parameter');
    }

    realm = realm ? realm : 'Authorization required.';

    function unauthorized(res, sendResponse) {
        res.statusCode = 401;
        res.setHeader('WWW-Authenticate', 'Basic realm="' + realm + '"');

        if (sendResponse) {
            res.end('Unauthorized');
        }
    }

    return function(req, res, next) {
        req.requireAuthorization = function(req, res, next) {
            var authorization = req.headers.authorization;

            if (req.remoteUser) return next();
            if (!authorization) return unauthorized(res, true);

            var parts = authorization.split(' ');
            var scheme = parts[0];
            if ('Basic' != scheme) {
                return next(new Error('Authorization header ' +
                'does not have the correct scheme. \'Basic\' ' +
                'scheme was expected.'));
            }

            var _credentials = new Buffer(parts[1], 'base64').toString().split(':');

            var credentials = { username: _credentials[0],
                                password: _credentials[1] };

            callback(credentials, req, res, function(err) {
                if (err) {
                    unauthorized(res);
                    next(err);
                    return;
                }

                req.remoteUser = credentials.username;
                next();
            });
        };
        next();
    };
};

这代码其实和connect-auth差不多,不知道有没有渊源。他其实很简单,通过module.export返回一个函数,运行这个函数就可以获得中间件需要的函数了。我又在他的基础上,封装了验证的逻辑,用户名密码我是明文的,而且hard-coding,用basic-auth就是求简单,而且网站是给内部使用的,所以就不矫情了(middlewares.js): 

var should = require("should")
  , basicAuth = require('connect-basic-auth');

// Validate user's password
exports.basicAuth = function () {
    return basicAuth(function (credentials, req, res, next) {
        if (credentials && credentials.username == "cer" && credentials.password == "site") {
            next();
        }
        else {
            if (!credentials) console.log("credentials not provided");
            if (credentials && credentials.username) console.log("credentials-username:" + credentials.username);
            if (credentials && credentials.password) console.log("credentials-password:" + credentials.username);
            next("Unautherized!");
        }
    });
}


这个是app.js,使用了那个中间件: 

var express = require('express')
  , http = require('http')
  , path = require('path')
  , util = require('util')
  , middlewares = require('./middlewares');

var app = express();

app.configure(function () {
    app.set('env', 'production');
    app.set('port', process.env.PORT || 80);
    app.set('views', __dirname + '/views');
    app.set('view engine', 'ejs');
    app.use(express.favicon());
    app.use(express.logger('dev'));
    app.use(express.bodyParser());
    app.use(express.methodOverride());
    app.use(middlewares.basicAuth());
    app.use(app.router);
    app.use(express.static(path.join(__dirname, 'public')));
    app.use(express.errorHandler());
});

注意,上面那个use,没有实际作用的,看上面源代码就知道,他不过是添加了一个req.requireAuthorization()的成员函数,所以,只有你显示调用这个函数,才会真正起到验证效果!这个是非常棒的!也就是说,你可以选择性的为某些页面添加验证,其他页面还是公开访问!这正是我所需要的~。看代码: 

var _ = require('underscore')
  , fs = require('fs')
  , spawn = require('child_process').spawn
  , util = require('util')
  , should = require('should')
  , async = require('async');

///////////////////////////
// Exports
///////////////////////////

var g_app;

exports.initRoutes = function (app) {
    g_app = app;
    var pageRequests = [
        { method: "get", request: /^\/internal(\/.*)?/, handler: "auth" },
        { method: "get", request: "/internal", handler: "index" },
        { method: "get", request: "/internal/visisted_users", handler: "visistedUsers" },
        { method: "get", request: "/internal/integration_test", handler: "integrationTest" },
    ];

    _.each(pageRequests, function (pageRequest) {

        var request, handler, method;
        request = pageRequest.request;
        handler = exports[pageRequest.handler];
        method = app[pageRequest.method] || app.get;
        method.call(app, request, handler);
    });
}

exports.auth = function (req, res, next) {
    req.requireAuthorization(req, res, next);
}

exports.index = function (req, res, next) {
    res.render("page_internal");
}

exports.visistedUsers = function (req, res) {
    ......
}

exports.integrationTest = function (req, res) {
    ......
}

在路由的最上面,我用正则表达式加了一个验证auth的hanlder(因为回调函数有next参数,也算是中间件吧),凡是/internal/xxx的都需要经过验证。auth()的实现很简单,就是调用req.requireAuthorization(),看源代码就知道,他首先检查客户端有没有Authorization首部,没有的话,回送一个401(需要验证),这个时候浏览器就会弹出一个验证框,让你输入用户名密码,然后再次发送请求。有的话,就调用最初设置进去的回调函数,让你验证用户的credentical信息,成功你就调用next(),继续调用下一个handler,反之调用next("error")来结束路由。

所以,整体代码还是很简单的。



-----------------------------------------

更新:因为iisnode托管,启用了域认证,所以basic auth不成功(当然不托管能行)






ES9200端口漏洞添加授权:es集群添加用户安全认证功能(Set up basic security for the Elastic Stack)【 使用Xpack进行安全认证
专注于计算机研发知识和资讯分享
03-21 1159
6.8 之前免费版本并不包含安全认证功能,之后版本有开放一些基础认证功能。为了安全起见,设置访问密码,防止外网访问ES/黑客破解了服务器登录密码后,进而获取服务器上的 ES 数据。由于Elasticsearch的功能强大和使用简单,维基百科、卫报、Stack Overflow、GitHub等都纷纷采用它来做搜索。在节点 1 上执行如下命令,设置用户密码。设置完之后,数据会自动同步到其他节点。访问head管理页面: http://localhost:9100/es 集群不启动,下面的添加密码操作执行不了。
Basic Auth认证, Session/Cookie认证,JWT Token认证使用场景和优缺点分析
qq_33101689的博客
08-21 3935
Session/Cookie认证, Basic Auth认证, Token认证使用场景和优缺点分析 一. 为什么要授权认证 二. 传统Session/Cookie认证 三. Basic Auth 四. jwt token认证 四. 总结 一. 为什
webService添加basic验证
01-12
webService添加basic验证,为了WebService的安全,将webservice添加basic验证,用户在调用时需要提供授权信息进行调用
http basic认证
码农小麦
07-01 1962
basic基本认证是从HTTP/1.0定义的认证方式,就是在http请求头部添加Authorization字段,传值: Basic + base64编码的(用户名:密码)。
basic-auth-token.js:通过将用户名和密码与
06-07
基本身份验证令牌 通过将用户名和密码与 base64 编码字符串中的:字符连接生成的令牌。 npm install basic-auth-token --save npm 统计信息 例子 var token = require ( 'basic-auth-token' ) ; token ( "Aladdin" , "open sesame" ) //=> QWxhZGRpbjpvcGVuIHNlc2FtZQ== 应用程序接口 token(user, pass) 争论 user: (String)用户名。 pass: (String)密码。 回报 (String)令牌。 参考 提高安全性 笔记 如果您想要完整的RFC2617授权标头值,请查看basic-authorization-header 。 执照
网站添加基本认证 Basic Authentication
wangZY的博客
01-02 767
重启nginx systemctl restart nginx。保存后 检查一下语法是否正确 nginx -t。
Basic Authorization基本认证
Jack_software的专栏
05-21 1744
Basic Authorization基本认证
Nginx配置Basic_Auth登录认证
春日野穹
08-29 1万+
前言~ 闲来无事查看日志,发现新搬家的web服务器频繁遭到僵尸网络的扫描,虽然web服务加固的还不错,但是框架组件出现了新的nday,而自己又没及时留意到漏洞的存在去修补,那么服务器成为肉鸡的风险就增大了;一般来说,僵尸网络的扫描行为都是全互联网大范围进行的,并且所探测的漏洞大多都是一些新爆发的cms漏洞(ThinkPHP)、或者是一些常见的框架组件漏洞(如Struts2),针对该特性,我们可以配置Basic Auth登录认证(ngx_http_auth_basic_module),来减少僵尸网络对我们we
Nginx服务器中为网站或目录添加认证密码的配置详解
09-30
当需要为整个网站设置认证时,我们可以在Nginx的server配置块中使用auth_basic指令,并通过auth_basic_user_file指令指定密码文件的位置。例如,若密码文件位于/usr/local/nginx/conf/vhost/nginx_passwd,配置可写...
实现给Nginx的指定网站开启basic认证——http基本认证
CoffeMilk的博客
07-15 2523
目前我们配置的网站内容都是没有限制,可以让任何人打开浏览器都能够访问,这样就会存在一个问题(可能会存在一些恶意访问的用户进行恶意操作,直接访问到我们的敏感后台路径进行操作,风险就会很大);并且我们也只是希望这个网站只有我们自己能够访问,其他人访问不了。
http的basic 认证方式
wang0907的博客
04-28 8347
basic auth是一种http协议规范中的一种认证方式,即一种证明你就是你的方式。更进一步的它是一种规范,这种规范是这样子,如果是服务端使用了basic auth认证方式来处理用户请求的话,会从header中获取的头信息,如果是没有该头信息或者是头信息不正确,则会返回401状态码,并添加响应头。如果是浏览器收到了服务端的401响应,并且判断有www-authenticate头信息的话则会弹出自带的用户名密码录入框让用户录入信息,用户录入后浏览器会对录入的信息按照格式。
IIS7中的几种身份鉴别方式(一)Basic身份验证
afj6149的博客
02-15 605
基本身份认证 当设置了基本身份认证方式时,当一个请求到来,如下图所示: IIS Web Core 的AUTHENTICATE_REQUEST事件将请求拦截下来并将状态码设置成401.2, 返回给浏览器,其中有www-authentication头部 浏览器弹出对话框,输入用户名和密码后浏览器在重新发起的请求头部添加了一个Authorization头部, Basic不...
JS实现HTTP请求头-Basic Authorization
Scar的博客
07-15 7834
HTTP协议中的 Authorization 请求消息头含有服务器用于验证用户代理身份的凭证,通常会在服务器返回401 Unauthorized 状态码以及WWW-Authenticate 消息头之后在后续请求中发送此消息头。 Authorization:Basic c2NhcjoxMjM0NTY= Authorization: <type> <credentials> //(c2NhcjoxMjM0NTY=) 是(scar:1
spring security 5 (9)-httpBasic基本认证
JAVA博客
04-07 1万+
httpBasic是由http协议定义的最基础的认证方式。每次请求时,在请求头Authorization参数中附带用户/密码的base64编码,参考base64。这个方式并不安全,不适合在web项目中使用。但它是一些现代主流认证的基础,而且在spring security的oauth中,内部认证默认就是用的httpBasic。 httpBasic基本配置 注意,这里没有配formLogin,也...
如何在IDM中设置代理服务器
热门推荐
qq_30541471的博客
11-02 3万+
很多时候,大家下载文件都是在国外的一些网站上进行下载,这样不可免会受到自身国内网络的限制,另一方面下载源为避免服务器带宽占用过多而限制下载速率,这就会导致文件下载极慢,甚至几KB每秒。 这种情况是不是很常见呢?下载速度如果是被下载方限制那没辙,但如果是因为网络原因,那么我们可以通过在IDM(Internet Download Manager )中设置下载代理来避免遭到限速。 打开IDM,点击图1红框所示的“选项”设置按钮,进入设置页面。 图1:IDM页面 选择“代理服务器”选项卡,如图2红框所
Nodejs 后端解HTTP basic auth认证
Andy Tools
11-29 5080
项目中一般用oauth2 认证,今天想写一个demo就在POSTMAN中填了简单认证方式。嗯… 发现在express 还没有解过 尴尬了…今天写这篇blog把这个知识点加入到菜谱。 文章目录1 Basic auth认证1.1 通用的 HTTP 认证框架1.2 基本验证方案(Basic auth)2 nodejs服务端中解Basic auth认证2.1 basic-auth模块2.2 自行解析 1...
shiro讲解之 Realm
Dusty丶one的博客
10-28 888
shiro讲解之 Realm本章节我们将详细讲解一下Shiro的 Realm。概念 官方文档As mentioned above, Realms act as the ‘bridge’ or ‘connector’ between Shiro and your application’s security data. When it comes time to actually interact w
Spring Boot - 开启 HttpBasic 认证方式
qq_29761395的博客
01-03 6408
文章目录思路实践环境新建项目测试参考 思路 想要开启 HttpBasic 认证方式,服务器需要设置响应头 WWW-Authenticate: Basic realm="Realm"。当客户端(浏览器)访问指定的 URL,就会触发 HttpBasic 认证方式: 当用户在 Sign in 对话框中输入用户名和密码,点击 Sign in 按钮之后,浏览器使用 Base64 对用户名和密码进行编码,然后将其放在 Authorization 请求头中发送给服务器: 注意:因为浏览器使用 Base64 对用户名和
ngnix添加网站的系统管理员
最新发布
05-04
<think>嗯,用户问的是如何在Nginx中配置系统管理员权限或管理设置。我需要先理解他们的需求。可能他们想限制某些敏感页面的访问,比如后台管理界面,只有管理员才能进入。这时候应该想到使用访问控制,比如基于IP的限制或者密码认证。 首先,权限控制通常有两种方式:IP白名单和密码认证。IP白名单可以通过Nginx的allow和deny指令来实现,只允许特定的IP访问。而密码认证则需要创建用户密码文件,使用auth_basic模块。 然后,用户提到的“系统管理员权限”可能还涉及到错误页面的自定义,比如显示特定的错误信息给管理员。比如404或者50x错误页面,可以引用中的server上下文配置错误页面,这样不同的虚拟主机可以有自定义的错误提示。 接下来,要考虑到用户可能对Nginx配置不太熟悉,需要给出具体的步骤。比如创建密码文件要用htpasswd命令,配置location块来应用认证,还要检查配置文件语法是否正确,最后重启服务。这些步骤在引用[2]和引用[1]里有提到,比如使用sudo nginx -t检查配置,以及如何设置auth_basic。 另外,用户可能需要多因素认证,比如同时使用IP限制和密码认证,这样更安全。这时候需要在location块里同时设置allow/deny和auth_basic指令。 还有,关于权限问题,引用[1]提到要使用sudo执行命令,避免权限不足导致配置失败。同时,检查错误日志也是关键,帮助排除启动问题。 最后,确保回答结构清晰,分步骤说明,并且给出示例配置,方便用户直接套用。可能还需要提醒用户替换示例中的路径和密码文件名为实际使用的名称,以及生成密码时的注意事项,比如使用-c参数会覆盖文件,所以要小心操作。 相关问题部分需要考虑用户可能进一步的问题,比如如何自动化密码管理,或者如何处理动态IP的情况,以及如何结合防火墙增强安全性。这样能帮助用户更全面地管理他们的Nginx配置。</think>### 如何在 Nginx 中配置管理员权限或管理设置 在 Nginx 中配置管理员权限或管理设置,主要通过 **访问控制** 和 **身份验证** 实现,具体分为以下步骤: --- #### 一、基于 IP 地址的访问控制 **适用场景**:限制管理员后台仅允许特定 IP 访问。 1. 编辑 Nginx 配置文件(如站点配置文件 `/etc/nginx/sites-available/example.com`) ```nginx server { listen 80; server_name example.com; # 管理员后台路径 location /admin { allow 192.168.1.100; # 允许的 IP deny all; # 拒绝其他 IP try_files $uri $uri/ =404; } } ``` 2. 检查配置语法并重启 Nginx: ```bash sudo nginx -t # 验证配置[^1] sudo systemctl restart nginx ``` --- #### 二、密码认证配置 **适用场景**:为管理界面添加用户名/密码验证。 1. 使用 `htpasswd` 创建密码文件: ```bash sudo apt-get install apache2-utils # 安装工具 sudo htpasswd -c /etc/nginx/.admin_passwd admin_user # 生成文件[^4] ``` 2. 在 Nginx 配置中启用认证: ```nginx location /admin { auth_basic "Admin Area"; # 提示信息 auth_basic_user_file /etc/nginx/.admin_passwd; # 密码文件路径[^2] try_files $uri $uri/ =404; } ``` --- #### 三、组合使用 IP 限制与密码认证 ```nginx location /admin { allow 192.168.1.100; deny all; auth_basic "Admin Area"; auth_basic_user_file /etc/nginx/.admin_passwd; } ``` --- #### 四、自定义管理员错误页面 为管理员界面配置专属错误提示(如 403/404): ```nginx server { error_page 403 /admin_403.html; location = /admin_403.html { internal; # 仅限内部访问[^3] } } ``` --- #### 注意事项 1. **权限问题**:确保密码文件路径和 Nginx 进程权限匹配(通常属主为 `www-data`)。 2. **日志调试**:若配置失败,检查 `/var/log/nginx/error.log` 定位问题[^1]。 3. **密码安全**:定期更新密码文件,避免使用弱密码。 ---
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值