Nginx 之访问认证
- 2020 年 2 月 11 日
- 筆記
我们都知道,Web 服务器程序部署成功并启动之后,都是可以公开访问的,要想控制成只有部分人可以访问必然需要配置一下访问认证,实现访问认证的方法有很多,主要有两种:Flask-OAuth 和 Nginx,Flask-OAuth 以前讲过,今天我就来讲一下 Nginx 配置访问认证。这里以配置 Scrapyd 的访问认证为例进行讲解。
为什么 Nginx 能做访问认证
首先来看一下为什么 Nginx 能做访问认证,Nginx 之所以可以做访问认证,是因为它具有一项非常强大的功能——反向代理!那么我们就先来说说这个反向代理究竟是什么鬼玩意。
反向代理(Reverse Proxy)方式是指以代理服务器来接受 Internet 上的连接请求,然后将请求转发给内部网络上的服务器,并将从服务器上得到的结果返回给 Internet 上请求连接的客户端,此时代理服务器对外就表现为一个反向代理服务器。
知道了反向代理,访问认证的逻辑也就水落石出了,就是在请求转发给内网服务器之前做一个判断,认证口令正确,就把请求转发给内网服务器,认证口令错误,就重新进行验证或者直接拒绝访问。
Nginx 如何配置访问认证
知道了反向代理逻辑,接下来就是 Nginx 如何配置访问认证,难道要从头开始写,如果真的要从头开始写那我宁愿选择 Flask-OAuth。其实反向代理的逻辑早就被 Nginx 给封装好了,我们只要去配置文件里面填写必要的信息就完事了。
修改配置文件
接着就是修改配置文件,网上教程都是这么说的吧。在文件末尾添加如下内容:
http { server { listen 6801; location / { proxy_pass http://127.0.0.1:6800/; auth_basic "Restricted"; auth_basic_user_file /etc/nginx/conf.d/.htpasswd; } } }
然后使用 htpasswd 命令创建用户名密码文件,这里假设用户名是 admin,命令如下:
htpasswd -c .htpasswd admin。
接着就会提示输入密码,输入两次之后,就会生成这个用户名密码文件,然后把文件移动到 /etc/nginx/conf.d/ 里面。最后输入如下命令:
sudo nginx -s reload
运行这个命令来重启 Nginx 服务就完事了。
可是这个教程是针对 Linux 系统而言的,我要讲解的是针对 Windows 系统。所以上述教程也只能作为参考,不能照搬!
我们需要针对 Windows 系统的实际情况对上述教程略作修改,修改后向配置文件里面添加如下内容:
http { server { listen 6801; location / { proxy_pass http://127.0.0.1:6800/; auth_basic "Restricted"; auth_basic_user_file .htpasswd; } } }
然后保存配置文件,打开 cmd,切换目录到 Nginx 目录(我的是 D:nginx-1.16.1),向上面所说的一样执行创建用户名密码文件命令,然后输入以下命令:
nginx -s reload
运行这个命令重启服务会发现有一个错误,如图所示。
稍微翻译一下,"http" 指示是重复的……第 118 行。问题很明显,之前就出现了 http。不管了,先去配置文件里面搜索一下看看,搜索结果如图所示。
注意红色箭头的指向,有两个 http,那么我们对它们进行合并,下面直接给出合并之后的配置文件内容(看一下内容应该知道是怎么合并的了)。
#user nobody; worker_processes 1; #error_log logs/error.log; #error_log logs/error.log notice; #error_log logs/error.log info; #pid logs/nginx.pid; events { worker_connections 1024; } http { include mime.types; default_type application/octet-stream; #log_format main '$remote_addr - $remote_user [$time_local] "$request" ' # '$status $body_bytes_sent "$http_referer" ' # '"$http_user_agent" "$http_x_forwarded_for"'; #access_log logs/access.log main; sendfile on; #tcp_nopush on; #keepalive_timeout 0; keepalive_timeout 65; #gzip on; server { listen 80; server_name localhost; #charset koi8-r; #access_log logs/host.access.log main; location / { root html; index index.html index.htm; } #error_page 404 /404.html; # redirect server error pages to the static page /50x.html # error_page 500 502 503 504 /50x.html; location = /50x.html { root html; } # proxy the PHP scripts to Apache listening on 127.0.0.1:80 # #location ~ .php$ { # proxy_pass http://127.0.0.1; #} # pass the PHP scripts to FastCGI server listening on 127.0.0.1:9000 # #location ~ .php$ { # root html; # fastcgi_pass 127.0.0.1:9000; # fastcgi_index index.php; # fastcgi_param SCRIPT_FILENAME /scripts$fastcgi_script_name; # include fastcgi_params; #} # deny access to .htaccess files, if Apache's document root # concurs with nginx's one # #location ~ /.ht { # deny all; #} } # another virtual host using mix of IP-, name-, and port-based configuration # #server { # listen 8000; # listen somename:8080; # server_name somename alias another.alias; # location / { # root html; # index index.html index.htm; # } #} # HTTPS server # #server { # listen 443 ssl; # server_name localhost; # ssl_certificate cert.pem; # ssl_certificate_key cert.key; # ssl_session_cache shared:SSL:1m; # ssl_session_timeout 5m; # ssl_ciphers HIGH:!aNULL:!MD5; # ssl_prefer_server_ciphers on; # location / { # root html; # index index.html index.htm; # } #} server { listen 6801; location / { proxy_pass http://127.0.0.1:6800/; auth_basic "Restricted"; auth_basic_user_file .htpasswd; } } }
保存之后再次重启 Nginx 服务,如图所示。
发现没有报错,算是配置完成了,接下来进入最后一个步骤——测试!
测试
测试的方法非常简单,打开浏览器,地址栏输入 http://localhost:6801 并访问,跳出如图所示的身份验证框。
我们输入用户名密码,点击登录,出现如图所示的页面。
大家可以多试几次(每次试之前必须清理 cookie,不想清理也可以使用无痕模式,Chrome 和 Firefox 都有),不管密码是什么都是这个错误,光看浏览器显示我们绝对不知道到底是什么原因导致的错误,我们可以看错误日志,错误日志内容如图所示。
注意看第四行,看完第四行答案已经很明显了,用户名密码文件应该放到 D:nginx-1.16.1conf 目录下,我们把文件移进去,如图所示。
然后清理完 cookie,打开浏览器,地址栏输入 localhost:6801,在弹出的身份验证框输入用户名密码,点击登录,跳转到如图所示的页面。
这个页面显示的内容就是 http://localhost:6800 页面显示的内容!
