Ahs*_*san 5 configuration nginx authentication http-basic-authentication
我在服务器上以测试模式部署了一个应用程序。对它的访问仅限于通过 HTTP 身份验证的选定用户组。这很好用。问题是,如果我通过不同的“位置”指令提供静态文件,nginx 会为这些文件提供“未授权”。我尝试关闭 auth_basic,但没有骰子。
这是 vhost conf:
# Virtual Host
upstream appname {
server 127.0.0.1:4000;
server 127.0.0.1:4001;
server 127.0.0.1:4002;
}
server {
listen 80;
server_name appname.domain.com;
# write app specific log
# make sure you create this file in your log directory before running behind nginx
access_log /home/apps/appname/shared/log/nginx.log main;
# let nginx serve static files directly
# images
location ^~/images {
auth_basic off;
root /home/apps/appname/current/public/images;
}
location ^~/covers {
auth_basic off;
root /home/apps/covers;
}
# # javascript
location ^~/javascripts {
auth_basic off;
root /home/apps/appname/current/public/javascripts;
}
# # css
location ^~/stylesheets {
auth_basic off;
root /home/apps/appname/current/public/style;
}
# Push all other requests to Merb
location / {
# needed to forward user's IP address to merb
proxy_set_header X-Real-IP $remote_addr;
auth_basic "domains";
auth_basic_user_file htpasswd;
if (!-f $request_filename) {
proxy_pass http://appname;
break;
}
}
}
有什么建议 ?
编辑:
我尝试将图像放在另一个子域下并为其配置一个单独的“服务器”块 - 没有任何 http_auth。但它仍然给我一个 403 禁止在图像上!这是我添加的内容:
server {
listen 80;
server_name images.domain.com;
access_log /home/apps/appname/shared/log/nginx_images.log main;
error_log /home/apps/appname/shared/log/nginx_images_error.log;
error_page 500 502 503 504 /500.html;
location = /500.html {
root /home/apps/www/http_error_codes;
}
location /images {
root /home/apps/appname/current/public/images;
}
location /covers {
root /home/apps/covers;
}
open_file_cache max=1000 inactive=20s;
open_file_cache_valid 30s;
open_file_cache_min_uses 2;
open_file_cache_errors on;
}
我也尝试打开一个新浏览器并直接从images.domain.com访问图像文件,但它仍然说403禁止!
我不确定你需要
auth_basic off
在您不想进行身份验证的区域。文档说,这用于“覆盖从较低级别指令继承的操作”,但在这种情况下,您的父指令(服务器块)不包含任何 auth 指令。
这可能是一个错误,当您尝试在尚未启用继承身份验证的情况下禁用它时,您将其打开(也许它实际上只是翻转了一下?),但我建议从静态位置删除该语句。
据我所知,您在位置上使用 ^~ 并没有真正做任何事情,因为您在服务器块中没有任何正则表达式匹配。如果您查看此处的解决顺序说明:
http://wiki.nginx.org/NginxHttpCoreModule#location
您将看到使用 ^~ 会阻止检查正则表达式指定的位置。在该文档页面的下方,您会看到对于文字匹配,nginx 选择“最佳”匹配,其中“最佳”通常是与最长子字符串匹配的文字匹配。我不确定的是内部是否
location /foo
比“更好”
location ^~ /foo
尽管两者都是字面匹配,但后者只是附加了提示。但由于您当前的设置中不需要 ^~ 位,因此请尝试删除它们,看看是否可以解决问题。当然,如果您给了我们一个经过编辑的配置以供澄清,并且您的块中确实有 ~ 或 ~* 匹配项,这对您没有帮助。
如果这些都不起作用,那么您可以尝试移动
auth_basic
和
auth_basic_user_file
语句进入服务器块。然后把你的
auth_basic off
语句放入静态位置,它们将禁用您已打开的某些功能。
==更新==
这个简单的例子在 0.7.61 下适用于我:
服务器 {
听80;
服务器名称 test.domain.com;
access_log /var/log/nginx/sites/test.domain.com/access.log;
error_log /var/log/nginx/sites/test.domain.com/error.log;
位置/图像{
根/srv/www/sites/test.domain.com;
}
地点 / {
根/srv/www/sites/test.domain.com;
索引index.html;
auth_basic测试;
auth_basic_user_file /etc/nginx/auth/test.htpasswd;
if ( -f $request_filename ) {
30天到期;
休息;
}
}
}
在站点目录中,我只有index.html 和/images 中的图形文件。如果我在新的浏览器会话中访问 /images/filename.jpg,它会出现并且不会出现错误。如果然后转到网站的根目录,我会收到身份验证提示。如果我然后返回到图像,我的日志将显示经过身份验证的用户名(其中第一个请求仅显示“-”)
数据包跟踪显示,身份验证信息是由浏览器通过 GET /images/filename.jpg 提供的(没有 401 质询)。我假设 nginx 会记录提供的用户名,无论是否特别需要获取文件(当然,由于挑战是针对 / 的,浏览器必须为 /images/filename.jpg 提供用户输入的凭据)。
显然我的示例不包括代理,但基本功能已经存在。
我最初测试这一点时犯的一个错误(您也这样做了)是将 location 块的子目录包含在 root 指令中。请注意 /images 和 / 的根目录是如何相同的 - nginx 在尝试检索文件时将添加到子目录中。
如果我将 /images 块的根参数设置为包含 /images,则会收到 404 错误消息,尝试从新的浏览器会话获取 jpg(不会提示进行身份验证)。我想知道您的代理设置是否导致请求被 / 块捕获,而不是(如我的示例中)落在配置的底部?