如何在Nginx中配置基本的HTTP认证

基本的HTTP身份验证是一种安全机制，通过设置简单的用户名/密码身份验证来限制对您的网站/应用程序或其某些部分的访问。 它可以用来保护整个HTTP服务器，单个服务器块（ Apache中的虚拟主机 ）或位置块。

另请参阅 ： 如何使用NGINX设置基于名称和基于IP的虚拟主机（服务器块）

顾名思义，这不是依靠安全的方法; 您应该将其与其他更可靠的安全措施结合使用。 例如，如果您的Web应用程序在HTTP上运行，那么用户凭据将以纯文本形式传输，因此您应该考虑启用HTTPS。

本指南的目的是帮助您添加一个小而有用的安全层，以保护您的Web应用程序（例如但不限于管理员端）上的私人/特权内容。 您也可以使用它来阻止访问仍处于开发阶段的网站或应用程序。

要求

1. 在CentOS / RHEL 7中安装LEMP协议栈
2. 在Ubuntu / Debian中安装LEMP协议栈

创建HTTP认证用户文件

您应该首先创建一个存储username:password对的文件。 我们将使用Apache HTTP Server的htpasswd工具来创建这个文件。

首先检查apache2-utils或httpd-tools ，提供htpasswd实用程序的软件包是否安装在您的系统上，否则请运行相应的命令来安装它：

# yum install httpd-tools		[RHEL/CentOS]
$ sudo apt install apache2-utils	[Debian/Ubuntu]

接下来，运行下面的htpasswd命令来创建第一个用户的密码文件。 -c选项用于指定passwd文件，一旦您点击[Enter] ，系统会要求您输入用户密码。

# htpasswd -c /etc/nginx/conf.d/.htpasswd developer

添加第二个用户，不要在这里使用-c选项。

# htpasswd /etc/nginx/conf.d/.htpasswd admin

现在您已经准备好密码文件，请继续配置您要限制访问的Web服务器的各个部分。 要查看密码文件内容（包括用户名和加密密码），请使用下面的cat命令 。

# cat /etc/nginx/conf.d/.htpasswd 

查看HTTP密码文件

配置Nginx的HTTP认证

正如我们前面提到的那样，您可以限制访问您的Web服务器，单个网站（使用其服务器块）或位置指令。 两个有用的指令可以用来实现这一点。

• auth_basic - 使用“ HTTP基本验证 ”协议打开用户名和密码验证 。
• auth_basic_user_file - 指定密码文件。

密码保护Nginx虚拟主机

要实现整个Web服务器的基本身份验证（适用于所有服务器块），请打开/etc/nginx/nginx.conf文件，并在http上下文中添加以下行：

htpp{
auth_basic           "Restricted Access!";
auth_basic_user_file /etc/nginx/conf.d/.htpasswd; 
……...
}

密码保护Nginx的网站或域名

要启用特定域或子域的基本身份验证，请在/etc/nginx/conf.d/或/ etc / nginx / conf / sites-available （取决于您如何安装Nginx）下打开其配置文件，然后添加服务器块或上下文中的配置如下：

server {
listen 			80;
server_name    	  example.com;
auth_basic           	"Restricted Access!";
auth_basic_user_file 	/etc/nginx/conf.d/.htpasswd; 
location /  {
……..
}
……...
}

密码保护Nginx中的Web目录

您也可以在位置指令中启用基本身份验证。 在下面的示例中，所有试图访问/admin位置块的用户都将被要求进行身份验证。

server {
listen 			80;
server_name    	example.com www.example.com;
location / {
……..
}
location /admin/ {
auth_basic           	"Restricted Access!";
auth_basic_user_file 	/etc/nginx/conf.d/.htpasswd; 
}
location /public/{
auth_basic  off;	#turns off basic http authentication off for this block
}
……..
}

如果您已经配置了基本的HTTP身份验证，将会要求所有尝试访问您的Web服务器的用户，或者某个站点的子域或特定部分（取决于您在其中实现的位置），都会要求输入用户名和密码，如屏幕截图所示下面。

Nginx基本认证

如果用户身份验证失败，则会显示“需要401授权 ”错误，如下所示。

401授权所需的错误

您可以在限制使用基本HTTP身份验证的访问中找到更多信息。

您可能还想阅读以下有用的Nginx HTTP服务器相关指南。

1. 如何在Nginx中保护Web目录的密码
2. 终极指南，以确保，加固和提高性能的Nginx
3. 设置HTTPS让我们加密Nginx的SSL证书

在本指南中，我们展示了如何在Nginx HTTP Web服务器中实现基本的HTTP身份验证。 要提出任何问题，请使用下面的反馈表格。