Bagaimanakah saya melaksanakan pengesahan HTTP (Auth Basic, Digest Auth) dalam Nginx?

Bagaimanakah saya melaksanakan pengesahan HTTP (Auth Basic, Digest Auth) dalam Nginx?

Melaksanakan pengesahan HTTP di Nginx boleh dilakukan dengan menggunakan kaedah pengesahan asas dan mencerna. Berikut adalah panduan langkah demi langkah mengenai cara menetapkannya:

Pengesahan Asas:

1. Buat fail kata laluan: Pertama, anda perlu membuat fail yang mengandungi nama pengguna dan kata laluan. Gunakan arahan htpasswd untuk membuat dan menguruskan fail ini.

    <code>sudo htpasswd -c /etc/nginx/.htpasswd username</code>

   Ini akan meminta anda memasukkan kata laluan untuk pengguna yang ditentukan. Pengguna tambahan boleh ditambah tanpa bendera -c .

2. Konfigurasikan Nginx: Ubah suai fail konfigurasi Nginx anda untuk memasukkan butiran pengesahan. Tambahkan yang berikut ke pelayan atau blok lokasi anda:

    <code class="nginx">location /protected/ { auth_basic "Restricted Area"; auth_basic_user_file /etc/nginx/.htpasswd; }</code>

   Ini memerlukan pengesahan untuk mengakses /protected/ direktori.

3. Mulakan semula nginx: Setelah membuat perubahan, mulakan semula nginx untuk memohon konfigurasi baru:

    <code>sudo systemctl restart nginx</code>

Pengesahan Digest:

1. Buat fail kata laluan: Sama dengan asas auth, anda memerlukan fail kata laluan. Anda boleh menggunakan alat seperti htdigest untuk menciptanya:

    <code>sudo htdigest -c /etc/nginx/.htdigest "Realm Name" username</code>

   Gantikan "Nama Realm" dengan nama Realm yang anda inginkan.

2. Konfigurasi Nginx: Digest Auth memerlukan ngx_http_auth_digest_module , yang mungkin tidak dimasukkan ke dalam binaan lalai nginx. Sekiranya anda memilikinya, konfigurasikan nginx seperti berikut:

    <code class="nginx">location /protected/ { auth_digest "Restricted Area"; auth_digest_user_file /etc/nginx/.htdigest; }</code>

3. Mulakan semula nginx: mulakan semula nginx untuk memohon konfigurasi baru.

Apakah implikasi keselamatan menggunakan pengesahan asas vs. Digest di nginx?

Kedua -dua pengesahan asas dan pencernaan mempunyai implikasi keselamatan mereka sendiri:

Pengesahan Asas:

• Keselamatan: Pengesahan asas menghantar nama pengguna dan kata laluan dalam teks biasa, Base64 yang dikodkan. Ini bermakna jika seseorang memintas data, mereka boleh dengan mudah menyahkodkannya dan mendapatkan kelayakan.
• Kerentanan: Ia terdedah kepada serangan ulangan kerana kelayakan dihantar dengan setiap permintaan.
• Kelebihan: Ia disokong secara meluas dan mudah untuk dilaksanakan.

Pengesahan Digest:

• Keselamatan: Pengesahan Digest lebih selamat kerana ia menggunakan mekanisme tindak balas cabaran. Daripada menghantar kata laluan sebenar, ia menghantar respons hashed, menjadikannya lebih sukar bagi penyerang untuk mendapatkan kelayakan.
• Kerentanan: Ia masih boleh terdedah kepada beberapa jenis serangan, seperti serangan lelaki-dalam-pertengahan jika HTTPS tidak digunakan.
• Kelebihan: Ia memberikan keselamatan yang lebih baik daripada pengesahan asas tetapi kurang disokong dan lebih kompleks untuk dilaksanakan.

Perbandingan:

• Penyulitan: Pengesahan asas memerlukan HTTPs untuk selamat, sedangkan pengesahan pencernaan boleh menawarkan beberapa tahap keselamatan melalui HTTP, tetapi HTTPS masih disyorkan.
• Kerumitan: Pengesahan asas lebih mudah untuk menubuhkan dan mengurus, sementara pengesahan dicerna memerlukan lebih banyak konfigurasi dan sokongan dari pelayan dan klien.

Bagaimanakah saya boleh mengkonfigurasi Nginx untuk menggunakan alam pengesahan untuk pengurusan pengguna yang lebih baik?

Alam Pengesahan di Nginx digunakan untuk sumber kumpulan yang memerlukan pengesahan di bawah nama biasa. Ini dapat membantu dalam pengurusan pengguna yang lebih baik dan memberikan konteks yang jelas kepada pengguna tentang apa yang mereka akses. Inilah cara mengkonfigurasi Nginx untuk menggunakan Alam Pengesahan:

1. Pengesahan Asas dengan Realm:

    <code class="nginx">location /protected/ { auth_basic "Restricted Area"; # This is the realm name auth_basic_user_file /etc/nginx/.htpasswd; }</code>

   Teks dalam petikan adalah nama alam yang akan ditunjukkan kepada pengguna semasa prompt pengesahan.

2. Pengesahan Digest dengan Realm:

    <code class="nginx">location /protected/ { auth_digest "Restricted Area"; # This is the realm name auth_digest_user_file /etc/nginx/.htdigest; }</code>

   Sama seperti Auth Basic, teks dalam petikan adalah nama alam.

3. Pelbagai alam:
   Anda boleh menyediakan alam yang berbeza untuk lokasi yang berbeza untuk menguruskan akses ke bahagian pelayan yang berlainan.

    <code class="nginx">location /admin/ { auth_basic "Admin Area"; auth_basic_user_file /etc/nginx/.htpasswd_admin; } location /user/ { auth_basic "User Area"; auth_basic_user_file /etc/nginx/.htpasswd_user; }</code>

   Contoh ini menggunakan alam yang berbeza dan fail kata laluan yang berbeza untuk admin dan kawasan pengguna, meningkatkan pengurusan pengguna.

Bolehkah saya menggabungkan kaedah pengesahan asas dan mencerna dalam nginx untuk keselamatan yang dipertingkatkan?

Walaupun Nginx tidak menyokong secara asli menggabungkan pengesahan asas dan mencerna dalam blok lokasi yang sama, anda boleh mencapai bentuk keselamatan yang dipertingkatkan dengan menubuhkan lokasi berasingan dengan kaedah pengesahan yang berbeza. Inilah cara anda boleh mengkonfigurasinya:

1. Asas Auth untuk Kawasan Kurang Sensitif:

    <code class="nginx">location /less_sensitive/ { auth_basic "Less Sensitive Area"; auth_basic_user_file /etc/nginx/.htpasswd_less_sensitive; }</code>

2. Digest Auth untuk kawasan yang lebih sensitif:

    <code class="nginx">location /more_sensitive/ { auth_digest "More Sensitive Area"; auth_digest_user_file /etc/nginx/.htdigest_more_sensitive; }</code>

3. Pengesahan Fallback:
   Jika anda mahu pengguna mempunyai kaedah sandaran untuk mengakses kandungan, anda boleh menyediakan lokasi yang berasingan dengan kaedah pengesahan alternatif:

    <code class="nginx">location /fallback/ { auth_basic "Fallback Area"; auth_basic_user_file /etc/nginx/.htpasswd_fallback; }</code>

Walaupun persediaan ini tidak secara teknikal menggabungkan kedua -dua kaedah dalam lokasi yang sama, ia membolehkan anda memanfaatkan kekuatan kedua -dua asas dan pencerna pengesahan untuk pelbagai bidang pelayan anda, meningkatkan keselamatan dengan menyediakan mekanisme pengesahan yang sesuai berdasarkan kepekaan data.

Atas ialah kandungan terperinci Bagaimanakah saya melaksanakan pengesahan HTTP (Auth Basic, Digest Auth) dalam Nginx?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!