很多时候我们需要对一些网站进行密码保护,比如团队内部的站点、demo站点等等。这里所说的密码保护是服务器级的,并非网站应用层的注册登录那一套,而是利用服务器配置和htpasswd文件来实现访问的密码验证
在Nginx中使用htpasswd对网站进行密码保护是一种常见的安全措施,尤其适用于团队内部站点或Demo站点,防止未经授权的外部访问。这种方法不是通过网站应用层的注册登录系统,而是直接在服务器配置层面进行,利用Nginx的HTTP基本认证(HTTP Basic Authentication)功能和htpasswd文件。
要实现这一功能,需要修改Nginx的服务器配置。在Ubuntu服务器上,配置文件通常位于`/etc/nginx/sites-enabled/`目录下。以默认配置文件为例,如`/etc/nginx/sites-enabled/default`,我们需要在相应的location块中添加以下两条指令:
```nginx
auth_basic "Restricted";
auth_basic_user_file htpasswd;
```
`auth_basic`指令定义了一个提示信息,当用户尝试访问受保护的区域时,浏览器会显示这个提示。`auth_basic_user_file`则指定了包含用户凭证的htpasswd文件路径。
接下来,创建htpasswd文件至关重要。该文件通常存放在与nginx.conf同一级目录下,例如`/etc/nginx/htpasswd`。文件内容由用户账号及其加密后的密码组成,每行一个用户,格式如下:
```
username1:encrypted_password
username2:another_encrypted_password
```
密码不是以明文形式存储,而是使用crypt(3)算法加密的字符串。可以使用PHP或其他工具生成加密密码,例如以下PHP代码示例:
```php
$password = 'some password';
$password = crypt($password, base64_encode($password));
echo $password;
```
完成htpasswd文件后,需确保其权限设置正确,以便Nginx能够读取但限制其他用户的访问。运行以下命令:
```bash
sudo chown root:www-data htpasswd
sudo chmod 640 htpasswd
```
这样,htpasswd文件的所有者是root,而www-data组(通常为Nginx进程)有读取权限,其他用户则无权访问。
保存配置并重新加载或重启Nginx服务以应用改动:
```bash
sudo /etc/init.d/nginx reload
# 或
sudo /etc/init.d/nginx restart
```
现在,每次尝试访问受保护的URL时,浏览器都会弹出一个对话框,要求输入用户名和密码。如果认证失败,服务器将返回HTTP 401错误,提示"Authorization Required"。
总结来说,使用Nginx和htpasswd进行密码保护网站是一个有效的安全措施,它涉及修改Nginx配置、创建htpasswd文件、设置文件权限以及重新加载Nginx服务。这个过程确保了只有知道特定用户名和密码的用户才能访问受保护的网站内容。
