在Nginx配置中,有时我们需要为特定的IP地址或者IP范围设置不同的访问控制策略,例如允许某些IP地址无密码访问,而其他IP地址则需要通过HTTP基本认证(HTTP Basic Auth)来验证身份。这样的配置可以提高安全性,同时为内部或信任的用户提供便捷的访问。以下将详细解释如何在Nginx中实现这个功能。
我们来看一个示例配置:
```nginx
server {
server_name $HOSTNAME.dashboard.example.com;
listen 80;
# http://serverfault.com/questions/242218/how-to-disable-http-basic-auth-in-nginx-for-a-specific-ip-range
satisfy any;
allow 210.22.143.202/32;
deny all;
auth_basic "example Restricted";
auth_basic_user_file htpasswd;
error_page 404 /404;
error_page 503 /503;
#charset koi8-r;
access_log logs/dashboard.access.log;
error_log logs/dashboard.error.log;
location / {
proxy_pass http://127.0.0.1:8001;
proxy_redirect default;
proxy_set_header X-Real-IP $remote_addr;
}
location /assets {
alias $DEPLOY_ROOT_DIR/DashboardServer/assets/;
}
}
```
在这个示例中,我们创建了一个名为`dashboard.example.com`的服务器块,监听80端口。以下是一些关键配置指令的解析:
1. `satisfy any`: 这个指令表示只要满足任何一个授权条件就允许访问。在这里,我们将它与`allow`和`deny`指令一起使用,使得只有特定IP地址可以免于密码验证。
2. `allow 210.22.143.202/32`: 这条指令允许指定IP地址(在这个例子中是210.22.143.202)的请求通过。`/32`表示完整的IP地址,不包括子网掩码。
3. `deny all`: 这条指令拒绝所有其他IP地址的请求。这必须放在`allow`指令之后,因为Nginx会按顺序处理这些指令,如果匹配到`allow`,就不会再检查`deny`。
4. `auth_basic "example Restricted"`: 设置HTTP基本认证的提示信息,用户将看到这个信息来输入用户名和密码。
5. `auth_basic_user_file htpasswd`: 指定包含用户名和加密密码的htpasswd文件路径。这个文件通常使用`htpasswd`工具创建。
6. `location`块:定义了两个`location`,一个用于代理到本地的8001端口,另一个用于静态文件的路径。
7. `proxy_pass`、`proxy_redirect`和`proxy_set_header`指令:这些是Nginx作为反向代理时使用的,将请求转发给后端服务器,并设置相应头信息。
8. `error_page`指令:当发生404或503错误时,Nginx将返回指定的页面。
通过这样的配置,Nginx将对除210.22.143.202之外的所有IP地址进行HTTP基本认证,确保了非指定IP地址的用户必须提供有效的用户名和密码才能访问网站。同时,内部或已授权的IP地址可以直接访问,无需密码,提高了效率。
请注意,为了使这些更改生效,你需要在修改Nginx配置文件后重启Nginx服务。在大多数Linux系统上,你可以使用`sudo service nginx restart`命令来完成这个操作。确保在生产环境中谨慎操作,以免中断服务。
VIP享7折,此内容立减4.47元 
