当前位置: 首页 > web >正文

使用 NGINX 实现 HTTP Basic 认证ngx_http_auth_basic_module 模块

web 2025/5/6 7:40:22

一、前言

在 Web 应用中,对部分资源进行访问控制是十分常见的需求。除了基于 IP 限制、JWT 验证、子请求校验等方式外,最经典也最简单的一种方式便是 HTTP Basic Authentication。NGINX 提供的 ngx_http_auth_basic_module 模块支持基于用户名和密码的基本认证,搭配密码文件使用即可快速生效,适合临时保护内网站点、管理后台或演示环境。

本文将介绍该模块的基本原理、配置方式、安全注意事项,以及配套使用 htpasswd 工具生成密码文件的实践步骤。

二、模块简介

  • 模块名称ngx_http_auth_basic_module
  • 主要用途:限制资源访问,要求客户端输入用户名和密码进行认证
  • 认证方式:基于 HTTP 标准的 Basic 认证协议
  • 依赖文件:密码文件 htpasswd,包含加密后的用户名密码对

三、基本配置

示例:

location /admin/ {auth_basic "Admin Area";                 # 认证提示字符串(realm)auth_basic_user_file /etc/nginx/.htpasswd; # 密码文件路径
}

用户访问 /admin/ 时,将收到 401 提示,浏览器弹出认证对话框,需输入有效的用户名和密码才能访问。

四、指令详解

1. auth_basic

auth_basic "提示字符串" | off;
  • 启用 Basic 认证,并设置提示信息(如“Protected”)
  • 使用 off 可取消继承自上级的认证设置

2. auth_basic_user_file

auth_basic_user_file /路径/文件名;
  • 指定密码文件路径
  • 支持变量(如 $document_root)
  • 文件格式支持多种加密方案,详见下节

五、密码文件格式与生成

支持的密码格式包括:

  • crypt() 加密:传统 Unix 加密方式,兼容性强
  • MD5 (apr1):Apache 的变体,加密强度较高
  • SSHA / SHA:OpenLDAP/Dovecot 使用,但不推荐使用 SHA(无盐,易被彩虹表攻击)

推荐方式:使用 Apache 提供的 htpasswd 工具生成

安装:

Ubuntu / Debian:

sudo apt install apache2-utils

Mac(通过 Homebrew):

brew install httpd
创建密码文件:
# 创建新文件并添加用户
htpasswd -c /etc/nginx/.htpasswd admin# 添加其他用户(无需 -c)
htpasswd /etc/nginx/.htpasswd user2

执行后输入密码,文件内容示例:

admin:$apr1$Jz2Wx...$gDzVpzESXk3evm7aTnt1C1
user2:$apr1$T5bsw...$EOczxO2wqlfy5Iod5kZqf/

注:该文件权限建议设置为 640,并限制仅 NGINX 用户可读。

六、进阶用法

1. 结合 IP 限制:使用 satisfy 指令

location /internal/ {satisfy any;allow 192.168.0.0/24;deny all;auth_basic "Restricted";auth_basic_user_file /etc/nginx/.htpasswd;
}

上述配置表示:来自内网地址即可访问,其他请求必须通过 Basic 认证

2. 区块级控制:仅保护部分接口或目录

location /docs/private/ {auth_basic "Docs Login";auth_basic_user_file /etc/nginx/docs_passwd;
}

用于保护在线文档、临时演示页等。

七、安全注意事项

  • 认证信息为明文传输,强烈建议配合 HTTPS 使用
  • 密码文件中不可使用明文密码,需使用加密方式存储
  • 不推荐使用 {SHA},应优先使用 apr1bcrypt(OpenResty 用户可结合 Lua 模块)
  • 大量用户时,建议使用数据库认证方式或 JWT 替代 Basic Auth

八、总结

NGINX 的 ngx_http_auth_basic_module 提供了简单而高效的认证机制,尤其适用于中小型项目的访问控制、临时资源保护等场景。通过几行配置和一个 htpasswd 文件即可快速上线认证机制。结合 satisfy 实现复合控制,还可支持灵活的访问策略。

尽管 Basic Auth 存在加密弱点,但在内网或搭配 HTTPS 使用场景下,依旧是一个便捷的工具。掌握该模块,有助于你在各类 Web 项目中快速构建轻量级的访问控制体系。

http://www.xdnf.cn/news/4037.html

相关文章:

  • Dify - Embedding Rerank
  • React状态管理
  • Java面试场景分析:从音视频到安全与风控的技术探讨
  • 怎么才能找到自己的天赋?
  • 09-24计算机考研408真题及答案
  • uniapp开发05-image标签的一些使用注意事项
  • GPIO引脚的上拉下拉以及转换速度到底怎么选
  • 使用注意力机制的seq2seq
  • Docker —— 隔离的基本操作(2)
  • ABAP 导入Excel形成内表
  • spring中的@ConfigurationProperties注解详解
  • 网星安全AWS攻防方案,重磅发布!
  • 机器学习模型训练模块技术文档
  • AVHRR中国积雪物候数据集(1980-2020年)
  • yolo 用roboflow标注的数据集本地训练 kaggle训练 comet使用 训练笔记5
  • FISCO BCOS【初体验笔记】
  • Python 闭包:函数式编程中的魔法变量容器
  • ciscn_2019_c_1
  • 普联的AC100+AP+易展路由组网方案的一些问题
  • docker介绍以及安装
  • sherpa-ncnn:Linux_x86交叉编译Linux_arm32上的sherpa-ncnn -- 语音转文本大模型
  • 蓝桥杯单片机备战笔记
  • 【中间件】brpc_基础_TimerThread
  • 五一假期作业
  • springboot单体项目的执行流程
  • LFU算法解析
  • 【PostgreSQL数据分析实战:从数据清洗到可视化全流程】4.5 清洗流程自动化(存储过程/定时任务)
  • 【中间件】brpc_基础_单例
  • FreeRTOS学习系列·二值信号量
  • Linux查询日志常用命令