如何在Nginx中配置基本的HTTP认证

基本的HTTP身份验证是一种安全机制,通过设置简单的用户名/密码身份验证来限制对您网站或其某些部分的访问。

基本的HTTP身份验证是一种安全机制,通过设置简单的用户名/密码身份验证来限制对您的网站/应用程序或其某些部分的访问。 它可以用来保护整个HTTP服务器,单个服务器块( Apache中的虚拟主机 )或位置块。

另请参阅如何使用NGINX设置基于名称和基于IP的虚拟主机(服务器块)

顾名思义,这不是依靠安全的方法; 您应该将其与其他更可靠的安全措施结合使用。 例如,如果您的Web应用程序在HTTP上运行,那么用户凭据将以纯文本形式传输,因此您应该考虑启用HTTPS。

本指南的目的是帮助您添加一个小而有用的安全层,以保护您的Web应用程序(例如但不限于管理员端)上的私人/特权内容。 您也可以使用它来阻止访问仍处于开发阶段的网站或应用程序。

要求

  1. 在CentOS / RHEL 7中安装LEMP协议栈
  2. 在Ubuntu / Debian中安装LEMP协议栈

创建HTTP认证用户文件

您应该首先创建一个存储username:password对的文件。 我们将使用Apache HTTP Server的htpasswd工具来创建这个文件。

首先检查apache2-utilshttpd-tools ,提供htpasswd实用程序的软件包是否安装在您的系统上,否则请运行相应的命令来安装它:

# yum install httpd-tools		[RHEL/CentOS]
$ sudo apt install apache2-utils	[Debian/Ubuntu]

接下来,运行下面的htpasswd命令来创建第一个用户的密码文件。 -c选项用于指定passwd文件,一旦您点击[Enter] ,系统会要求您输入用户密码。

# htpasswd -c /etc/nginx/conf.d/.htpasswd developer

添加第二个用户,不要在这里使用-c选项。

# htpasswd /etc/nginx/conf.d/.htpasswd admin

现在您已经准备好密码文件,请继续配置您要限制访问的Web服务器的各个部分。 要查看密码文件内容(包括用户名和加密密码),请使用下面的cat命令

# cat /etc/nginx/conf.d/.htpasswd 
查看HTTP密码文件

查看HTTP密码文件

配置Nginx的HTTP认证

正如我们前面提到的那样,您可以限制访问您的Web服务器,单个网站(使用其服务器块)或位置指令。 两个有用的指令可以用来实现这一点。

  • auth_basic - 使用“ HTTP基本验证 ”协议打开用户名和密码验证
  • auth_basic_user_file - 指定密码文件。

密码保护Nginx虚拟主机

要实现整个Web服务器的基本身份验证(适用于所有服务器块),请打开/etc/nginx/nginx.conf文件,并在http上下文中添加以下行:

htpp{
auth_basic           "Restricted Access!";
auth_basic_user_file /etc/nginx/conf.d/.htpasswd; 
……...
}

密码保护Nginx的网站或域名

要启用特定域或子域的基本身份验证,请在/etc/nginx/conf.d// etc / nginx / conf / sites-available (取决于您如何安装Nginx)下打开其配置文件,然后添加服务器块或上下文中的配置如下:

server {
listen 			80;
server_name    	  example.com;
auth_basic           	"Restricted Access!";
auth_basic_user_file 	/etc/nginx/conf.d/.htpasswd; 
location /  {
……..
}
……...
}

密码保护Nginx中的Web目录

您也可以在位置指令中启用基本身份验证。 在下面的示例中,所有试图访问/admin位置块的用户都将被要求进行身份验证。

server {
listen 			80;
server_name    	example.com www.example.com;
location / {
……..
}
location /admin/ {
auth_basic           	"Restricted Access!";
auth_basic_user_file 	/etc/nginx/conf.d/.htpasswd; 
}
location /public/{
auth_basic  off;	#turns off basic http authentication off for this block
}
……..
}

如果您已经配置了基本的HTTP身份验证,将会要求所有尝试访问您的Web服务器的用户,或者某个站点的子域或特定部分(取决于您在其中实现的位置),都会要求输入用户名和密码,如屏幕截图所示下面。

Nginx基本认证

Nginx基本认证

如果用户身份验证失败,则会显示“需要401授权 ”错误,如下所示。

401授权所需的错误

401授权所需的错误

您可以在限制使用基本HTTP身份验证的访问中找到更多信息。

您可能还想阅读以下有用的Nginx HTTP服务器相关指南。

  1. 如何在Nginx中保护Web目录的密码
  2. 终极指南,以确保,加固和提高性能的Nginx
  3. 设置HTTPS让我们加密Nginx的SSL证书

在本指南中,我们展示了如何在Nginx HTTP Web服务器中实现基本的HTTP身份验证。 要提出任何问题,请使用下面的反馈表格。