nginx登录账户认证

liubulong

概述

  Basic和Digest身份验证是Web应用程序中常用的备用身份验证机制,基本身份验证通常与无状态客户端一起使用,后者在每个请求上传递其凭据.将它与基于表单的身份验证结合使用是很常见的,其中应用程序通过基于浏览器的用户界面和作为Web服务使用.但是,基本身份验证将密码作为纯文本传输,因此建议只在加密传输层(如HTTPS)上使用

Basic Authentication

Basic Authentication负责处理HTTP标头中显示的基本身份验证凭据,这可以用于验证Spring远程协议(例如Hessian和Burlap)以及普通浏览器用户代理(例如Firefox和Internet Explorer)进行的调用

配置

• 之前的文章中有详细提说过http认证HTTP Authentication,包括用户认证信息的生成机制,存放方式等
• 此处依然是使用简单的htpasswd工具生成用户认证信息,并使用文本文件进行存储
• 生成用户认证信息,添加一个用户名为obama的账号,并两次输入密码,再继续添加第二个用户是不要在使用-c选项
  

htpasswd -c -m htpasswd obamaNew password:Re-type new password:Adding password for user obamahtpasswd -m htpasswd trumpNew password:Re-type new password:Adding password for user trump

• 配置文件中对需要进行认证的域进行配置
  

location /president {     auth_basic "This is for president";     auth_basic_user_file /app/ngx/ssl/htpasswd; }DigestAuthentication

Digest Authentication能够处理HTTP标头中提供的摘要认证凭证.摘要式身份验证尝试解决基本身份验证的许多弱点,特别是通过确保永远不会通过网络以明文形式发送凭据,但是兼容性较差

Digest Authenticaton EntryPoint具有指定key用于生成随机数令牌的nonceValiditySeconds属性,以及用于确定到期时间的属性(默认值300,等于五分钟).Whist永远是nonce有效,摘要是通过连接各种字符串计算的,包括用户名,密码,nonce,请求的URI,客户端生成的nonce(只是用户代理生成每个请求的随机值),领域名称等,然后执行MD5哈希。

服务器和用户代理都执行此摘要计算,如果它们在包含的值(例如密码)上不一致,则会产生不同的哈希码

配置

• 遗憾的是,nginx官方没有提供此模块,也没用收入第三方模块,只能自己开发或者使用别人开发的编译进去,此处推荐一个nginx-http-auth-digest
• 将其编译进去即可
  

./configure --prefix=/app/ngx ... \--add-dynamic-module=/app/software/nginx-http-auth-digest...

• 生成用户认证信息
  

[root@ngx-1 ssl]# htdigest -c digesthtpass "president" trumpAdding password for trump in realm president.New password:Re-type new password:

• 配置文件中对需要进行认证的域进行配置
  

auth_digest_user_file /app/ngx/ssl/digesthtpass;auth_digest_shm_size 4m;    location /president {    auth_digest "president";    auth_digest_timeout 60s;    auth_digest_expires 10s;    auth_digest_replays 20;}