Kawalan akses berasaskan ACL dalam proksi terbalik Nginx

Dengan pembangunan aplikasi web yang berterusan, Nginx telah menjadi salah satu pelayan web yang paling popular dan digunakan secara meluas dalam banyak perusahaan. Antaranya, proksi terbalik Nginx adalah salah satu topologi penggunaan yang paling biasa digunakan untuk aplikasi web. Walaupun Nginx menyediakan fungsi proksi terbalik yang berkuasa, sokongan keselamatannya masih perlu dipertingkatkan lagi. Oleh itu, kawalan capaian berasaskan ACL telah menjadi kaedah yang boleh dilaksanakan untuk melindungi aplikasi web.

1. Pengenalan ACL

ACL (Senarai Kawalan Akses) ialah senarai yang digunakan untuk kawalan akses, yang mengandungi beberapa entri yang terdiri daripada pengecam pengguna atau kumpulan. Peranan ACL adalah untuk mengawal akses kepada sumber berdasarkan peraturan. Dalam Nginx, ACL boleh digunakan untuk menyekat akses kepada alamat atau URL tertentu, mengawal penggunaan pengepala HTTP atau kaedah permintaan, dsb.

ACL Nginx terdiri daripada dua bahagian:

· Pembolehubah: digunakan untuk mengekstrak maklumat tentang konfigurasi, pengguna atau atribut permintaan.

· Arahan: Ungkapan logik yang terdiri daripada pembolehubah dan pengendali yang digunakan untuk memadankan atribut pengguna atau permintaan.

Pembolehubah ACL boleh datang daripada berbilang sumber, seperti IP pengguna, pengepala permintaan HTTP atau kandungan permintaan POST. Nginx menyediakan sejumlah besar pembolehubah untuk menyokong senario aplikasi yang berbeza. Berikut ialah beberapa pembolehubah Nginx yang biasa digunakan:

$remote_addr: alamat IP klien.

$http_user_agent: Ejen pelanggan untuk permintaan HTTP.

$http_referer: Alamat sumber permintaan HTTP.

$request_method: Kaedah permintaan HTTP (GET, POST, DELETE, dll.).

$request_uri: URI permintaan HTTP.

2. Kawalan akses berasaskan ACL

Kawalan akses berasaskan ACL biasanya dibahagikan kepada dua langkah. Pertama, anda perlu mentakrifkan peraturan yang menghimpunkan pengguna ke dalam kumpulan dan mentakrifkan atribut yang dikaitkan dengan mereka. Kedua, peraturan ini perlu digunakan pada konfigurasi proksi terbalik Nginx untuk menyekat akses pengguna.

Dalam Nginx, anda boleh menggunakan arahan "peta" untuk menentukan peraturan ACL. Sebagai contoh, konfigurasi berikut mentakrifkan peraturan ACL bernama "acl_group":

map $remote_addr $acl_group {
    default   "guest";
    192.168.1.10  "admin";
    192.168.1.11  "admin";
    192.168.1.12  "user";
    192.168.1.13  "user";
}

Dalam konfigurasi di atas, semua pengguna yang datang dari alamat IP lain akan dianggap "tetamu", dan semua pengguna yang datang daripada empat alamat IP tertentu akan dianggap "tetamu" Pengguna dianggap sebagai "pentadbir" atau "pengguna" masing-masing.

Seterusnya, anda boleh menggunakan arahan "jika" digabungkan dengan ungkapan logik untuk menggunakan peraturan ACL pada konfigurasi Nginx. Sebagai contoh, konfigurasi berikut menggunakan peraturan ACL untuk mengawal akses kepada dua laluan "/admin" dan "/user":

location /admin {
    if ($acl_group != "admin") {
        return 403;
    }
    # 正常处理请求
}

location /user {
    if ($acl_group != "user") {
        return 403;
    }
    # 正常处理请求
}

Dalam konfigurasi di atas, apabila alamat IP pengguna bukan "admin" ditakrifkan dalam kumpulan "acl_group" atau "pengguna", kod status HTTP 403 akan dikembalikan, melarang akses kepada laluan "/admin" dan "/user".

3. Ringkasan

Kawalan akses berasaskan ACL ialah cara yang berkesan untuk melindungi keselamatan aplikasi web. Dalam Nginx, ACL boleh digunakan untuk menyekat akses kepada alamat atau URL tertentu, mengawal penggunaan pengepala HTTP atau kaedah permintaan, dsb. Dengan mentakrifkan peraturan ACL dan menggunakan arahan "jika", anda boleh menggunakan peraturan ACL pada konfigurasi proksi terbalik Nginx untuk menyekat akses pengguna dan meningkatkan keselamatan aplikasi web anda.

Atas ialah kandungan terperinci Kawalan akses berasaskan ACL dalam proksi terbalik Nginx. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!