Nginx 限制访问 - 配置基于子请求结果的认证
2018-02-20 08:49
1106 查看
原文地址
外部认证服务器或认证服务。
对于所有路径中含 /private 的请求,会触发一个到内部的 /auth 这个 location 的子请求。
1. 概述
Nginx 和 Nginx Plus 可以使用外部服务器或服务对网站的每个请求进行身份验证。为了执行认证,Nginx 向用于验证子请求的外部服务器发出 HTTP 子请求。 如果子请求返回 2xx 响应码,则允许访问,如果返回 401 或 403,则访问被拒绝。 这种类型的认证允许实施各种认证方案,例如多因素认证(multifactor authentication),或允许实施 LDAP 或 OAuth 认证。2. 先决条件 Prerequisites
NGINX Plus 或 NGINX 开源版本。外部认证服务器或认证服务。
3. 配置 Nginx 或 Nginx Plus
3.1 添加模块
确保 Nginx 在编译时开启了with-http_auth_request_module配置选项。运行命令检查输出是否包含这个
http_auth_request_module模块:
$ nginx -V 2>&1 | grep -- 'http_auth_request_module'
3.2 指定认证 location
在需要认证请求的 location 中,通过auth_request指令指定一个用于处理认证子请求的内部 location:
location /private/ { auth_request /auth; ... }
对于所有路径中含 /private 的请求,会触发一个到内部的 /auth 这个 location 的子请求。
3.3 实现认证 location
指定内部 location 并在这个 location 中使用proxy_pass指令会把所有的认证子请求转发到认证服务器或认证服务:
location = /auth { internal; proxy_pass http://auth-server; ... }
3.4 忽略请求体
由于认证子请求忽略请求体,需要将proxy_pass_request_body指令设置为 off,并将 Content-Length 标头设置为空字符串 null:
location = /auth { internal; proxy_pass http://auth-server; proxy_pass_request_body off; proxy_set_header Content-Length ""; ... }
3.5 发送完整的原始请求 URI 与参数
通过proxy_set_header指令将完整的原始请求 URI 与参数一起传递:
location = /auth { internal; proxy_pass http://auth-server; proxy_pass_request_body off; proxy_set_header Content-Length ""; proxy_set_header X-Original-URI $request_uri; }
3.6
可以通过auth_request_set指令设置基于子请求结果的变量值:
location /private/ { auth_request /auth; auth_request_set $auth_status $upstream_status; }
4. 完整示例
这个例子将上面的步骤总结到一个配置中:http {
...
server {
...
location /private/ {
auth_request /auth;
auth_request_set $auth_status $upstream_status;
}
location = /auth { internal; proxy_pass http://auth-server; proxy_pass_request_body off; proxy_set_header Content-Length ""; proxy_set_header X-Original-URI $request_uri; }
}
}
相关文章推荐
- Linux命令:nginx安装配置及基于用户认证访问
- nginx 限制并发访问及请求频率
- 通过nginx代理拦截请求进行全局访问限制
- nginx限制单个IP访问配置
- 4000 基于IP配置Nginx的访问权限-
- 全面掌握Nginx配置+快速搭建高可用架构 一 Nginx请求限制
- nginx配置将http请求转发支持ssl双向认证https请求的正向代理
- CentOS7 Nginx配置--虚拟主机、用户认证、域名重定向、访问日志
- 基于nginx+lua实现防火墙动态规则请求限制
- nginx配置将http请求转发支持ssl双向认证https请求的正向代理
- linux下配置Apache基于加密的认证访问
- Nginx中配置用户服务器访问认证的方法示例
- Nginx请求限制配置
- Nginx访问限制配置
- Nginx源站IP限制访问配置后web页面请求失败
- Nginx服务器中限制连接数与限制请求的模块配置教程
- [Linux.NET]Nginx 泛解析配置请求映射到多端口实现二级域名访问
- Nginx服务器限制访问速度的配置方法
- Centos6.3下Apache配置基于加密的认证https加密证书访问
- nginx配置二:限制来源ip访问