Nginx 之訪問認證
- 2020 年 2 月 11 日
- 筆記
我們都知道,Web 服務器程序部署成功並啟動之後,都是可以公開訪問的,要想控制成只有部分人可以訪問必然需要配置一下訪問認證,實現訪問認證的方法有很多,主要有兩種:Flask-OAuth 和 Nginx,Flask-OAuth 以前講過,今天我就來講一下 Nginx 配置訪問認證。這裡以配置 Scrapyd 的訪問認證為例進行講解。
為什麼 Nginx 能做訪問認證
首先來看一下為什麼 Nginx 能做訪問認證,Nginx 之所以可以做訪問認證,是因為它具有一項非常強大的功能——反向代理!那麼我們就先來說說這個反向代理究竟是什麼鬼玩意。
反向代理(Reverse Proxy)方式是指以代理服務器來接受 Internet 上的連接請求,然後將請求轉發給內部網絡上的服務器,並將從服務器上得到的結果返回給 Internet 上請求連接的客戶端,此時代理服務器對外就表現為一個反向代理服務器。
知道了反向代理,訪問認證的邏輯也就水落石出了,就是在請求轉發給內網服務器之前做一個判斷,認證口令正確,就把請求轉發給內網服務器,認證口令錯誤,就重新進行驗證或者直接拒絕訪問。
Nginx 如何配置訪問認證
知道了反向代理邏輯,接下來就是 Nginx 如何配置訪問認證,難道要從頭開始寫,如果真的要從頭開始寫那我寧願選擇 Flask-OAuth。其實反向代理的邏輯早就被 Nginx 給封裝好了,我們只要去配置文件裏面填寫必要的信息就完事了。
修改配置文件
接着就是修改配置文件,網上教程都是這麼說的吧。在文件末尾添加如下內容:
http { server { listen 6801; location / { proxy_pass http://127.0.0.1:6800/; auth_basic "Restricted"; auth_basic_user_file /etc/nginx/conf.d/.htpasswd; } } }
然後使用 htpasswd 命令創建用戶名密碼文件,這裡假設用戶名是 admin,命令如下:
htpasswd -c .htpasswd admin。
接着就會提示輸入密碼,輸入兩次之後,就會生成這個用戶名密碼文件,然後把文件移動到 /etc/nginx/conf.d/ 裏面。最後輸入如下命令:
sudo nginx -s reload
運行這個命令來重啟 Nginx 服務就完事了。
可是這個教程是針對 Linux 系統而言的,我要講解的是針對 Windows 系統。所以上述教程也只能作為參考,不能照搬!
我們需要針對 Windows 系統的實際情況對上述教程略作修改,修改後向配置文件裏面添加如下內容:
http { server { listen 6801; location / { proxy_pass http://127.0.0.1:6800/; auth_basic "Restricted"; auth_basic_user_file .htpasswd; } } }
然後保存配置文件,打開 cmd,切換目錄到 Nginx 目錄(我的是 D:nginx-1.16.1),向上面所說的一樣執行創建用戶名密碼文件命令,然後輸入以下命令:
nginx -s reload
運行這個命令重啟服務會發現有一個錯誤,如圖所示。
稍微翻譯一下,"http" 指示是重複的……第 118 行。問題很明顯,之前就出現了 http。不管了,先去配置文件裏面搜索一下看看,搜索結果如圖所示。
注意紅色箭頭的指向,有兩個 http,那麼我們對它們進行合併,下面直接給出合併之後的配置文件內容(看一下內容應該知道是怎麼合併的了)。
#user nobody; worker_processes 1; #error_log logs/error.log; #error_log logs/error.log notice; #error_log logs/error.log info; #pid logs/nginx.pid; events { worker_connections 1024; } http { include mime.types; default_type application/octet-stream; #log_format main '$remote_addr - $remote_user [$time_local] "$request" ' # '$status $body_bytes_sent "$http_referer" ' # '"$http_user_agent" "$http_x_forwarded_for"'; #access_log logs/access.log main; sendfile on; #tcp_nopush on; #keepalive_timeout 0; keepalive_timeout 65; #gzip on; server { listen 80; server_name localhost; #charset koi8-r; #access_log logs/host.access.log main; location / { root html; index index.html index.htm; } #error_page 404 /404.html; # redirect server error pages to the static page /50x.html # error_page 500 502 503 504 /50x.html; location = /50x.html { root html; } # proxy the PHP scripts to Apache listening on 127.0.0.1:80 # #location ~ .php$ { # proxy_pass http://127.0.0.1; #} # pass the PHP scripts to FastCGI server listening on 127.0.0.1:9000 # #location ~ .php$ { # root html; # fastcgi_pass 127.0.0.1:9000; # fastcgi_index index.php; # fastcgi_param SCRIPT_FILENAME /scripts$fastcgi_script_name; # include fastcgi_params; #} # deny access to .htaccess files, if Apache's document root # concurs with nginx's one # #location ~ /.ht { # deny all; #} } # another virtual host using mix of IP-, name-, and port-based configuration # #server { # listen 8000; # listen somename:8080; # server_name somename alias another.alias; # location / { # root html; # index index.html index.htm; # } #} # HTTPS server # #server { # listen 443 ssl; # server_name localhost; # ssl_certificate cert.pem; # ssl_certificate_key cert.key; # ssl_session_cache shared:SSL:1m; # ssl_session_timeout 5m; # ssl_ciphers HIGH:!aNULL:!MD5; # ssl_prefer_server_ciphers on; # location / { # root html; # index index.html index.htm; # } #} server { listen 6801; location / { proxy_pass http://127.0.0.1:6800/; auth_basic "Restricted"; auth_basic_user_file .htpasswd; } } }
保存之後再次重啟 Nginx 服務,如圖所示。
發現沒有報錯,算是配置完成了,接下來進入最後一個步驟——測試!
測試
測試的方法非常簡單,打開瀏覽器,地址欄輸入 http://localhost:6801 並訪問,跳出如圖所示的身份驗證框。
我們輸入用戶名密碼,點擊登錄,出現如圖所示的頁面。
大家可以多試幾次(每次試之前必須清理 cookie,不想清理也可以使用無痕模式,Chrome 和 Firefox 都有),不管密碼是什麼都是這個錯誤,光看瀏覽器顯示我們絕對不知道到底是什麼原因導致的錯誤,我們可以看錯誤日誌,錯誤日誌內容如圖所示。
注意看第四行,看完第四行答案已經很明顯了,用戶名密碼文件應該放到 D:nginx-1.16.1conf 目錄下,我們把文件移進去,如圖所示。
然後清理完 cookie,打開瀏覽器,地址欄輸入 localhost:6801,在彈出的身份驗證框輸入用戶名密碼,點擊登錄,跳轉到如圖所示的頁面。
這個頁面顯示的內容就是 http://localhost:6800 頁面顯示的內容!
