使用auth_basic模块进行基础认证

最新推荐文章于 2025-10-23 09:55:05 发布
原创 最新推荐文章于 2025-10-23 09:55:05 发布 · 2.1k 阅读 · 22 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#nginx

在建立和维护Web服务器时,身份认证是一个至关重要的环节。Nginx作为一个高性能的Web服务器,支持许多认证方法,其中较为简单和常用的一种即是基础身份认证(Basic Authentication),这需要借助auth_basic模块实现。本文将详细介绍Nginx中auth_basic模块的用途、使用场景、注意事项,并提供完整的示例和注释。此外,还将简要说明OpenResty上的auth_basic模块。

auth_basic模块的用途

auth_basic模块用于对访问指定资源的客户端进行简单的用户认证。通过该模块,可以确保只有满足提供的用户名和密码的请求才能访问特定资源。它的认证机制相对较为简单和直观,适用于一些不涉密的数据或内部管理的环境。

使用场景

  1. 开发和测试环境:在开发和测试环境中,确保只有相关开发人员或测试人员可以访问。
  2. 管理和维护页面:如搭建运维管理页面、监控页面、后台管理页面等,需要限制只允许有权限的用户访问。
  3. 临时保护公开不合适的资源:在部分资源还未准备好完全公开之前,临时性地加一道简单认证。

注意事项

  1. 不适合传输敏感信息:由于基础认证的原理是通过HTTP头传递用户名和密码,这些信息是通过base64编码的,不加密,因此不适合传输敏感信息。
  2. HTTPS的结合:为了避免用户名和密码在传输过程中被窃取,必须结合HTTPS使用,否则认证信息可能被中间人攻击窃取。
  3. 效率影响:大规模、高并发的应用场景可能影响服务器效率,应寻求其他更安全和高效的认证机制。

示例与解释

配置一个基础身份认证非常简单,下面通过一个示例来逐步讲解如何实现:

配置基于文件的基础认证

  1. 创建一个用户密码文件

通过htpasswd工具生成用户密码文件。这个工具是Apache HTTP Server常用的工具,Nginx完全兼容其生成的密码文件。

sudo yum install httpd-tools  # 安装 htpasswd 工具
htpasswd -c /etc/nginx/.htpasswd user1  # 创建包含 user1 的用户密码文件
  1. 修改Nginx配置文件

在Nginx配置文件中,使用auth_basic来启用基础认证,并使用auth_basic_user_file指令来指定包含用户信息的文件。

server {
  listen 80;
  server_name example.com;

  location / {
    auth_basic "Restricted Area";  # 设定弹出的对话框中的标题
    auth_basic_user_file /etc/nginx/.htpasswd;  # 指定用户密码文件

    proxy_pass http://localhost:8080;  # 示例:代理到后端服务
  }
}

详解:

  • auth_basic “Restricted Area”;:该指令启用基础认证,"Restricted Area"是在客户端弹出的认证对话框中的标题。
  • auth_basic_user_file /etc/nginx/.htpasswd;:指定用户和密码文件的路径,这个文件是在上一步中通过htpasswd创建的。
  • proxy_pass http://localhost:8080;:表示将通过认证的请求代理到后端的服务。

完整示例和注释

server {
  listen 80;
  server_name example.com;

  # 设置网站根目录的访问控制
  location / {
    # 启用基础认证,客户端看到的对话框标题为 "Restricted Area"
    auth_basic "Restricted Area";

    # 基础认证的用户密码文件
    auth_basic_user_file /etc/nginx/.htpasswd;

    # 代理转发请求到本地8080端口的服务(如应用服务器)
    proxy_pass http://localhost:8080;
  }
}

OpenResty上的auth_basic模块

OpenResty是基于Nginx的一个更强大的Web平台,集成了许多额外的模块和库。实际上,OpenResty完全继承了Nginx的auth_basic模块,因此其使用方法和语法几乎没有变化。对于OpenResty来说,基础认证的配置与Nginx是相同的。

server {
  listen 80;
  server_name openresty-example.com;

  location / {
    auth_basic "Restricted Area";  # 弹出对话框的标题
    auth_basic_user_file /etc/nginx/.htpasswd;  # 用户密码文件路径

    proxy_pass http://localhost:8080;  # 代理到后端服务
  }
}

高级用法

虽然基础身份认证相对简单,但在实际应用中,可以结合一些高级技巧和模块来增强其功能和安全性。下面将介绍如何结合其他Nginx模块和设置来实现更强大的认证和访问控制。

限制访问次数与速率

结合Nginx的limit_req模块,可以限制特定IP地址对受保护资源的访问次数和速率,从而减轻可能的暴力破解行为。

http {
  # 定义一个限制速率的区域
  limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s;

  server {
    listen 80;
    server_name example.com;

    location / {
      auth_basic "Restricted Area";
      auth_basic_user_file /etc/nginx/.htpasswd;

      # 使用定义的区域应用限速
      limit_req zone=one burst=5 nodelay;

      proxy_pass http://localhost:8080;
    }
  }
}

在上述例子中:

  • **limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s; **定义了一个命名为one的限速区域,每秒允许一个请求,每个IP地址有10MB的内存空间来存储速率记录。
  • **limit_req zone=one burst=5 nodelay; **在location块中应用了此限速规则,允许短时间内的突发请求数为5,超出速率限制的请求将被立即拒绝。

自定义认证失败页面

默认情况下,认证失败会返回一个简单的401 Unauthorized错误页面。这可能不适合所有应用场景。可以通过Nginx的error_page指令自定义认证失败页面:

server {
  listen 80;
  server_name example.com;

  location / {
    auth_basic "Restricted Area";
    auth_basic_user_file /etc/nginx/.htpasswd;

    error_page 401 /custom_401.html;
    location = /custom_401.html {
      root /usr/share/nginx/html;  # 自定义错误页面的路径
      internal;  # 确保该页面不会被直接访问
    }

    proxy_pass http://localhost:8080;
  }
}

在上述例子中,通过error_page 401 /custom_401.html;指定了自定义的401错误页面,并在location /custom_401.html块中定义页面的路径和内容。

基于IP地址的访问控制

如果希望只有特定的IP地址范围可以进行身份认证,可以结合Nginx的allow和deny指令:

server {
  listen 80;
  server_name example.com;

  location / {
    # 允许特定IP地址段访问
    allow 192.168.1.0/24;
    deny all;

    auth_basic "Restricted Area";
    auth_basic_user_file /etc/nginx/.htpasswd;

    proxy_pass http://localhost:8080;
  }
}

在上述例子中:

  • **allow 192.168.1.0/24; **允许192.168.1.0到192.168.1.255范围内的IP地址访问。
  • **deny all; **拒绝其他所有IP地址。

OpenResty中的高级用法

OpenResty作为Nginx的扩展平台,支持LUA脚本,这意味着可以在基础认证之外实现更复杂的逻辑。如基于数据库的认证或结合第三方OAuth服务。

基于自定义LUA脚本的认证示例

http {
  lua_shared_dict tokens 10m;

  server {
    listen 80;
    server_name openresty-example.com;

    location / {
      access_by_lua_block {
        local auth = ngx.var.http_authorization
          if not auth or auth == "" then
          ngx.headerWWW-Authenticate = 'Basic realm="Restricted Area"'
          ngx.exit(ngx.HTTP_UNAUTHORIZED)
          end

          local user_pass = ngx.decode_base64(auth:sub(7))
          local username, password = user_pass:match("^(.-):(.*)$")

          if not (username == "user1" and password == "password1") then
          ngx.exit(ngx.HTTP_UNAUTHORIZED)
          end
      }

      proxy_pass http://localhost:8080;
    }
  }
}

上述配置中,通过LUA脚本自定义了认证逻辑,直接在代码中定义了用户名和密码验证。

参考文献

  1. Nginx Documentation: HTTP Basic Auth
  2. OpenResty Documentation
  3. Apache HTTP Server Documentation
  4. Nginx Documentation: Limit Request
  5. Nginx Documentation: Error Page

在Nginx中使用auth_basic模块进行基础身份认证是一种简单有效的方法,适合用于开发、测试环境以及内部管理系统。通过阅读本文,您应该了解了该模块的用途、适用场景、注意事项以及如何配置和使用基础身份认证

希望本文对您的Web服务安全管理有所帮助。

Nginx进阶 配置-Nginx auth_basic 身份认证
goGoing_的博客
09-09 7827
在公司前期投入研发时,尤其针对于ZF的客户,往往是很多需求含糊不清,可项目的里程碑节点已是板上定钉。在这种情况下,需求组应和研发组协同推敲,不断的制定计划、出demo,拿着我们推测出的构建想法及原型去征求客户的意见。对于大屏、驾驶舱等可以前端先行的项目,往往不再是拿着高保真图片,而是部署到演示环境,将客户提供的真实数据展现于相关图表,数据可以使用前端mock数据,不用任何后端系统支撑。还有更low的是直接写死在图表上。用这个服务做演示汇报。这种情况下,有些驾驶舱、大屏的数据就涉及到敏感问题。
Nginx: 配置项之access模块auth_basic模块auth_request模块
Wang的专栏
08-23 1615
curl curl http://192.168.184.20:8080/auth.html -I 返回。curl http://192.168.184.20:8080/auth.html 返回结果如下。3 )生成密码文件工具。
nginxauth_basic认证
cnzzs的博客
08-14 1018
前些日子做了个实时业务作业大屏,效果还不错。虽然都是些业务数据,但是外面人员看了始终还是不好。所有我决定在这里加个auth_basic认证。一、安装htpasswd工具和配置nginx最初加这个后,返回了403,再后来又返回了401。最后有正常了。RedHat系登录后复制 yum install httpd-tools1...
nginx静态认证-auth_basic-auth_basic_user_file(手机不弹窗情况解决方案)
最新发布
Ander1023的博客
10-23 192
本文介绍了如何为Nginx配置基本认证功能。首先通过openssl生成加密密码,并创建.htpasswd文件存储用户名和密码。然后在Nginx配置中添加auth_basic指令开启认证,并指定密码文件路径。此外还提供了解决移动端认证问题的跨域头设置方法,包括允许的来源、请求方法和头信息。最后需要重启Nginx使配置生效。该配置可为网站添加简单的账号密码保护功能。
Nginx - 配置 Nginx auth_basic 身份验证
一行真人
04-23 8075
[我们在部署服务器之后,在很多场景下都要进行身份认证和访问控制的相关配置。而通常使用的访问控制方式需要后端服务器加入响应的业务逻辑进行配合(如 JWT 或者 Cookies),比较复杂。幸运的是,Nginx 已经为我们提供了简单的身份认证的功能,开箱即用。 概述 § ngx_http_auth_basic_module模块允许通过使用“HTTP基本认证”协议验证用户名和密码来限制对资源的访问。 访问还可以根据地址、子请求的结果或JWT进行限制。同时通过地址和密码限制访问由满足指令控制。 基本配置 § 生成密
auth_basic 认证
a6160212的博客
04-26 914
shell > yum -y install httpd-tools # 安装 htpasswd 工具 shell > cd /usr/local/nginx-1.10.2/conf shell > htpasswd -c pass.db wang # 创建认证用户 wang 并输入密码,添加用户时输入 htpasswd pass.db userna...
【权限管理】Basic 认证Basic Authentication)
IT古董
01-08 2121
Basic 认证Basic Authentication)是一种简单的 HTTP 协议认证方式,它通过将用户名和密码与 HTTP 请求一起发送来验证用户身份。这种方式的特点是简单实现,但安全性较低,因此在使用时通常需要配合 HTTPS 来确保数据的安全性。
nginx 使用 ngx_http_auth_basic_module 模块,给网站增加一个身份认证代理
哈哈虎的博客
03-14 539
nginx 使用 ngx_http_auth_basic_module 模块,给网站增加一个身份认证代理,无需修改网站代码。 以 phpMyAdmin 网站为例将 phpMyAdmin 隐藏在认证代理后面,这样用户在向 phpMyAdmin 提供 MySQL 凭证之前就需要进行认证官方文档。
Nginx访问控制之 access 模块、身份认证 auth_basic 模块
weixin_45880055的博客
07-14 1684
ngx_http_access_module 模块 ngx_http_access_module 模块提供了一个简易的基于主机的访问控制。通过该模块,可以允许或禁止指定的IP地址或IP地址段访问某些虚拟主机或目录 对于客户端的IP地址,按照从上到下第一次匹配到的访问控制规则执行 语法: allow address | CIDR | unix: | all; 默认: — 作用域: http, server, location, limit_except 功能: 允许指定的IP地址或IP地址段访问某些虚拟主机或
Apache 使用 mod_auth_basic 模块,给网站增加一个身份认证代理
哈哈虎的博客
03-14 617
Apache 使用 mod_auth_basic 模块,给网站增加一个身份认证代理,无需修改网站代码。 以 phpMyAdmin 网站为例将 phpMyAdmin 隐藏在认证代理后面,这样用户在向 phpMyAdmin 提供 MySQL 凭证之前就需要进行认证官方文档。
企业场景ngx_http_limit_req_module模块/请求限制、并发限制、限速模块/ngx_http_auth_basic_module
2302_78067597的博客
06-30 1102
限速分为两类:1)限制某个客户端在单位时间内同时访问的Http请求数,2)限制客户端的下载速度2.限速方式方法请求数限制:limit_req限制某个客户端在单位时间内同时访问的Http请求数,由ngx_http_limit_req_module实现。连接限制:limit_conn限制同一时间的并发数,使用ngx_http_limit_conn_module实现。下载限速:限制客户端下载资源的速度,使用ngx_http_core_module实现3.限速的原理漏桶算法和令牌桶算法。
BasicAuth认证实现
风小猪的博客
09-08 5223
BasicAuth认证介绍及在项目中的实现方式
nginx下的用户认证auth_basicauth_basic_user_file
zheng_long_的博客
04-21 1051
nginx之用户认证
java 进行 basic Auth认证
X5310__4的博客
11-06 2715
记录一次接口使用basic Auth认证进行对接,后端请求进行拼接;(需要进行Base64加密)
Prometheus 配置Basic auth认证
Hu_wen的专栏
03-20 2551
Prometheus于2.24版本(包括2.24)之后提供Basic Auth功能进行加密访问,在浏览器登录UI的时候需要输入用户密码,访问Prometheus api的时候也需要加上用户密码。执行脚本后,在password:后面输入你要设置的密码,然后就会生成一串加密的密码串,记录下该密码串,后面配置会使用到。以上准备工作完成后,最后在启动的命令脚本中,需加入web.config.file的配置参数。注意的是,密码是加密前的明文密码,配置完成后重启服务就正常了。使用python脚本,生成加密密码串。
学习nginx 认证模块auth_basic
weixin_45937255的博客
03-31 283
配置如下: server { listen 8085; root /data/nginx/domain6; server_name www.c.com; charset utf-8; location / { root /data/nginx/domain6; } location ~* /images/ {
HTTP 基本认证basic auth)和摘要认证(digest auth)区别
Dontla的博客
02-07 4701
Basic认证是一种较为简单的HTTP认证方式,客户端通过明文(Base64编码格式)传输用户名和密码到服务端进行认证,通常需要配合HTTPS来保证信息传输的安全。Digest认证是为了修复基本认证协议的严重缺陷而设计的,秉承“绝不通过明文在网络发送密码”的原则,通过“密码摘要”进行认证,大大提高了安全性。绝不通过明文在网络上发送密码可以有效防止恶意用户进行重放攻击可以有选择的防止对报文内容的篡改。
Basic 认证Basic Authentication)是一种简单的 HTTP 认证机制,用户在请求中通过用户名和密码来验证身份。实现 Basic 认证的方法相对简单,下面是如何在不同环境中实现。
m0_58223765的博客
11-27 3456
Basic 认证Basic Authentication)是一种简单的 HTTP 认证机制,用户在请求中通过用户名和密码来验证身份。实现 Basic 认证的方法相对简单,下面是如何在不同环境中实现和使用 Basic 认证的步骤。Basic 认证通过在 HTTP 请求头中添加一个特殊的 字段来传递用户名和密码。用户名和密码会被拼接成 的格式,然后通过 Base64 编码进行编码,最终生成的字符串作为 HTTP 请求头的一部分。例如,用户名是 ,密码是 ,将这两者拼接为 ,然后用 Base64 编码后变成
BasicAuth认证(gin框架提供)与Go
热门推荐
陈戏猿
07-11 1万+
BasicAuth认证与Go Basic Auth是一种开放平台认证方式,简单的说就是需要你输入用户名和密码才能继续访问。Bath Auth是其中一种认证方式,另一种是OAuthBasic Auth认证处理简单几乎没有什么优点了,最大的缺点就是安全性低。不用说,OAuth认证方式克服了Basic Auth认证的所有缺点,并且也是目前广泛应用的。 gin框架提供了Bath Auth认证中间...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

莽村宏伟

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值