shell,Linux,security,nginx,network,http,web,Authentication

nginx登录账户认证

概述

  BasicDigest身份验证是Web应用程序中常用的备用身份验证机制,基本身份验证通常与无状态客户端一起使用,后者在每个请求上传递其凭据.将它与基于表单的身份验证结合使用是很常见的,其中应用程序通过基于浏览器的用户界面和作为Web服务使用.但是,基本身份验证将密码作为纯文本传输,因此建议只在加密传输层(如HTTPS)上使用

Basic Authentication

Basic Authentication负责处理HTTP标头中显示的基本身份验证凭据,这可以用于验证Spring远程协议(例如Hessian和Burlap)以及普通浏览器用户代理(例如Firefox和Internet Explorer)进行的调用

配置

  • 之前的文章中有详细提说过http认证HTTP Authentication,包括用户认证信息的生成机制,存放方式等
  • 此处依然是使用简单的htpasswd工具生成用户认证信息,并使用文本文件进行存储
  • 生成用户认证信息,添加一个用户名为obama的账号,并两次输入密码,再继续添加第二个用户是不要在使用-c选项
htpasswd -c -m htpasswd obama
New password:
Re-type new password:
Adding password for user obama

htpasswd -m htpasswd trump
New password:
Re-type new password:
Adding password for user trump
  • 配置文件中对需要进行认证的域进行配置
location /president {
     auth_basic "This is for president";
     auth_basic_user_file /app/ngx/ssl/htpasswd;
 }

DigestAuthentication

Digest Authentication能够处理HTTP标头中提供的摘要认证凭证.摘要式身份验证尝试解决基本身份验证的许多弱点,特别是通过确保永远不会通过网络以明文形式发送凭据,但是兼容性较差

Digest Authenticaton EntryPoint具有指定key用于生成随机数令牌的nonceValiditySeconds属性,以及用于确定到期时间的属性(默认值300,等于五分钟).Whist永远是nonce有效,摘要是通过连接各种字符串计算的,包括用户名,密码,nonce,请求的URI,客户端生成的nonce(只是用户代理生成每个请求的随机值),领域名称等,然后执行MD5哈希。

服务器和用户代理都执行此摘要计算,如果它们在包含的值(例如密码)上不一致,则会产生不同的哈希码

配置

  • 遗憾的是,nginx官方没有提供此模块,也没用收入第三方模块,只能自己开发或者使用别人开发的编译进去,此处推荐一个nginx-http-auth-digest
  • 将其编译进去即可
./configure --prefix=/app/ngx ... \
--add-dynamic-module=/app/software/nginx-http-auth-digest
...
  • 生成用户认证信息
[root@ngx-1 ssl]# htdigest -c digesthtpass "president" trump
Adding password for trump in realm president.
New password:
Re-type new password:
  • 配置文件中对需要进行认证的域进行配置
auth_digest_user_file /app/ngx/ssl/digesthtpass;
auth_digest_shm_size 4m;
    location /president {
    auth_digest "president";
    auth_digest_timeout 60s;
    auth_digest_expires 10s;
    auth_digest_replays 20;
}
微信扫一扫,向我赞赏

微信扫一扫,向我赞赏

微信扫一扫,向我赞赏

支付宝扫一扫,向我赞赏

回复

This is just a placeholder img.