开会员与付费前请必须阅读这篇文章,在首页置顶第一篇:(进站必看本站VIP介绍/购买须知)
本站所有源码均为自动秒发货,默认(百度网盘)
本站所有源码均为自动秒发货,默认(百度网盘)
前言:Nginx作为高性能的Web服务器和反向代理服务器,在生产环境中被广泛应用。访问控制是Nginx安全配置的核心环节之一,其核心目标是限制非法访问、保护敏感资源,避免服务器被恶意攻击或未授权操作。本文将详细讲解两种最常用的Nginx访问控制方式——基于IP的访问控制和基于用户的权限认证,结合实操配置案例、验证方法及常见问题,帮助开发者快速掌握并落地到实际项目中,适合新手入门和运维人员参考。
一、访问控制核心意义与应用场景
在Web服务运行过程中,我们经常会遇到这样的需求:内部管理后台只允许公司内网IP访问、敏感接口仅开放给特定IP、后台管理页面需要账号密码验证才能进入。这些需求都可以通过Nginx的访问控制功能实现。
访问控制的核心价值在于“最小权限原则”:仅开放必要的访问权限,拒绝所有未授权的请求,从而降低服务器被攻击、数据泄露的风险。常见应用场景包括:
-
内部管理系统(如后台管理、数据库可视化界面),仅允许内网IP访问;
-
敏感接口(如支付接口、用户信息接口),仅开放给指定业务IP;
-
需要分级权限的页面,通过用户名密码区分普通用户和管理员权限;
-
屏蔽恶意IP(如频繁发起异常请求的IP),保障服务器稳定运行。
二、基于IP的访问控制(allow/deny指令)
基于IP的访问控制是Nginx最基础、最常用的访问限制方式,通过
allow(允许)和deny(拒绝)两个核心指令实现,支持单IP、IP段、子网掩码等多种配置形式,可作用于http、server、location等不同配置块,实现精细化的路径级访问控制。2.1 核心指令说明
Nginx的IP访问控制指令逻辑简单,核心规则如下:
-
指令优先级:
deny优先级高于allow,即先匹配拒绝规则,再匹配允许规则; -
匹配顺序:Nginx会按照配置文件中指令的书写顺序依次匹配,一旦匹配成功,立即执行对应动作(允许/拒绝),不再继续匹配后续规则;
-
默认策略:若未配置任何allow/deny指令,Nginx默认允许所有IP访问(allow all)。
两个指令的参数格式完全一致,支持以下几种常见写法:
|
指令
|
功能描述
|
参数格式示例
|
|---|---|---|
|
allow
|
允许指定IP/IP段访问
|
单IP(192.168.1.100)、多IP(空格分隔)、IP段(192.168.1.0/24)、本地回环(127.0.0.1)、所有IP(all)
|
|
deny
|
拒绝指定IP/IP段访问
|
格式同allow,支持deny all(拒绝所有IP)
|
2.2 实操配置案例(4种常见场景)
以下配置均基于Nginx主配置文件(通常路径为/usr/local/nginx/conf/nginx.conf)或虚拟主机配置文件(conf.d/xxx.conf),配置完成后需执行
nginx -t检查语法,再执行nginx -s reload重载配置生效。场景1:仅允许指定单个IP访问(适用于个人管理页面)
需求:仅允许IP为192.168.1.100的主机访问/admin路径,拒绝其他所有IP。
server { listen 80; server_name localhost; # 对/admin路径进行IP限制 location /admin { root html; index index.html index.htm; allow 192.168.1.100; # 允许指定IP deny all; # 拒绝其他所有IP } }
场景2:允许IP段访问(适用于内网办公场景)
需求:允许192.168.1.0/24网段(即192.168.1.1~192.168.1.255)访问,拒绝其他IP,常用于公司内网系统。
server { listen 80; server_name localhost; location / { root html; index index.html index.htm; allow 192.168.1.0/24; # 允许整个IP段 deny all; # 拒绝其他所有IP } }
场景3:拒绝特定IP/IP段(适用于屏蔽恶意IP)
需求:拒绝恶意IP 10.0.0.5和172.16.0.0/16网段访问,允许其他所有IP正常访问。
server { listen 80; server_name localhost; location / { root html; index index.html index.htm; deny 10.0.0.5; # 拒绝单个恶意IP deny 172.16.0.0/16; # 拒绝整个恶意IP段 allow all; # 允许其他所有IP } }
场景4:组合配置(适用于复杂场景)
需求:允许本地回环IP(127.0.0.1)和指定IP段(192.168.1.0/24)访问,拒绝IP 192.168.1.105,允许其他IP访问。
server { listen 80; server_name localhost; location / { root html; index index.html index.htm; allow 127.0.0.1; # 允许本地访问 allow 192.168.1.0/24; # 允许内网网段 deny 192.168.1.105; # 拒绝该网段内的特定IP allow all; # 允许其他所有IP } }
2.3 配置验证方法
配置生效后,可通过以下两种方式验证是否生效:
-
浏览器访问:使用被允许/拒绝的IP,访问对应路径,被拒绝时会显示403 Forbidden页面;
-
curl命令验证(推荐,更精准):
# 被允许的IP访问(示例)
curl http://192.168.1.10/admin
# 正常返回页面内容
# 被拒绝的IP访问(示例)
curl http://192.168.1.11/admin
# 返回403 Forbidden错误
三、基于用户的权限管理(HTTP基本认证)
基于IP的访问控制只能限制“谁能访问”,但无法区分同一IP下的不同用户。对于需要分级权限的场景(如管理员后台、敏感操作页面),需要通过“用户名+密码”的方式进行认证,即Nginx的HTTP基本认证功能。
Nginx的HTTP基本认证通过
ngx_http_auth_basic_module模块实现(默认内置,无需额外安装),核心是通过两个指令配置认证规则,并配合加密的密码文件实现用户校验。3.1 核心指令与密码文件
3.1.1 核心指令
-
auth_basic "提示信息":启用HTTP基本认证,引号内的内容是浏览器弹出认证弹窗时的提示文字(如“请输入管理员账号密码”); -
auth_basic_user_file 密码文件路径:指定存储用户名和加密密码的文件路径,该文件需放在Nginx可访问的目录下,且权限建议设置为600(仅所有者可读写),避免密码泄露。
3.1.2 密码文件创建(htpasswd工具)
密码文件不能手动创建(密码需加密存储,不能明文),需使用
htpasswd工具生成,该工具通常属于httpd-tools包,需先安装:# CentOS/RHEL系统安装 yum install httpd-tools -y # Ubuntu/Debian系统安装 apt-get install apache2-utils -y
安装完成后,使用以下命令创建密码文件并添加用户:
# 语法:htpasswd -c 密码文件路径 用户名 # -c:表示创建新文件(首次创建时使用,后续添加用户需去掉-c,否则会覆盖原有文件) # 示例:创建密码文件(路径建议放在nginx/conf目录下,命名为.htpasswd,隐藏文件更安全) htpasswd -c /usr/local/nginx/conf/.htpasswd admin # 执行后会提示输入密码和确认密码,输入完成后,用户admin及加密密码会写入.htpasswd文件 # 新增用户(无需-c) htpasswd /usr/local/nginx/conf/.htpasswd testuser
查看密码文件内容(可验证是否添加成功):
cat /usr/local/nginx/conf/.htpasswd # 输出格式:用户名:加密后的密码(加密方式为MD5) admin:$apr1$xxxxxxxx$xxxxxxxxxxxxxxx testuser:$apr1$yyyyyyyy$yyyyyyyyyyyyyyyy
3.2 实操配置案例
需求:对/admin路径启用HTTP基本认证,只有输入正确的用户名和密码才能访问,同时结合IP访问控制,仅允许内网IP(192.168.1.0/24)进行认证,双重保障安全。
server { listen 80; server_name localhost; location /admin { root html; index index.html index.htm; # 1. IP访问控制:仅允许内网IP allow 192.168.1.0/24; deny all; # 2. HTTP基本认证 auth_basic “管理员后台认证”; # 弹窗提示信息 auth_basic_user_file /usr/local/nginx/conf/.htpasswd; # 密码文件路径 } }
3.3 配置验证方法
-
浏览器访问:使用内网IP访问http://localhost/admin,会弹出认证弹窗,输入正确的用户名和密码(如admin/123456),即可正常访问;输入错误则会反复弹窗,或返回401 Unauthorized错误;
-
curl命令验证:
# 正确认证(-u 用户名:密码)
curl -u admin:123456 http://localhost/admin
# 正常返回页面内容
# 错误认证
curl -u admin:wrongpassword http://localhost/admin
# 返回401 Unauthorized错误
四、进阶:IP与用户认证组合使用(双重防护)
在实际生产环境中,为了提升安全性,通常会将IP访问控制和用户认证结合使用,实现“IP白名单+账号密码”的双重防护,确保只有“合法IP+合法用户”才能访问敏感资源。
核心逻辑:先通过IP访问控制筛选出合法IP,再通过用户认证筛选出合法用户,两者缺一不可。配置示例如下(以管理员后台为例):
server { listen 80; server_name localhost; # 管理员后台路径,双重防护 location /admin { root html; index index.html index.htm; # 第一步:IP白名单(仅允许公司内网IP和本地回环IP) allow 127.0.0.1; allow 192.168.1.0/24; deny all; # 拒绝非白名单IP,不进入后续认证 # 第二步:用户认证(区分管理员和普通用户,密码文件中可添加不同用户) auth_basic “管理员后台(需内网IP+账号密码)”; auth_basic_user_file /usr/local/nginx/conf/.htpasswd; } # 普通敏感路径,仅需用户认证(无需IP限制) location /sensitive { root html; index index.html index.htm; auth_basic “敏感资源认证”; auth_basic_user_file /usr/local/nginx/conf/.htpasswd; } }
五、常见问题与解决方案
问题1:配置allow/deny后,规则不生效
原因及解决方法:
-
规则顺序错误:deny指令放在了allow指令后面,导致allow规则被覆盖。需确保“先allow允许的IP,再deny拒绝其他”,或“先deny拒绝的IP,再allow允许其他”;
-
配置未重载:修改配置后未执行
nginx -s reload,导致配置未生效; -
IP配置错误:IP段格式错误(如192.168.1.0/24写成192.168.1.0\24),或IP地址写错。
问题2:HTTP认证弹窗无法弹出,或输入正确密码仍无法访问
原因及解决方法:
-
密码文件路径错误:auth_basic_user_file指定的路径不正确,Nginx无法读取密码文件,需检查路径是否正确(建议使用绝对路径);
-
密码文件权限过高:密码文件权限超过600,Nginx出于安全考虑拒绝读取,执行
chmod 600 /usr/local/nginx/conf/.htpasswd修改权限; -
密码文件格式错误:手动修改过密码文件,导致格式错乱,需重新使用htpasswd工具创建用户;
-
浏览器缓存:浏览器缓存了错误的认证信息,清除浏览器缓存后重新尝试。
问题3:需要动态管理IP黑名单(如实时屏蔽恶意IP)
解决方案:静态的allow/deny配置适合固定IP场景,若需动态管理IP黑名单,可结合OpenResty(基于Nginx+Lua)和Redis实现,通过Lua脚本实时读取Redis中的黑名单IP,实现动态拦截,适用于高并发、恶意IP频繁变化的场景。
六、总结与注意事项
6.1 总结
Nginx的访问控制是保障Web服务安全的基础手段,核心分为两类:
-
基于IP的访问控制:通过allow/deny指令,实现IP级别的黑白名单管理,配置简单、高效,适合限制访问来源;
-
基于用户的权限管理:通过HTTP基本认证,实现用户名+密码的身份校验,适合区分同一IP下的不同用户权限。
实际应用中,建议根据业务需求,将两者结合使用,实现双重防护,同时遵循“最小权限原则”,仅开放必要的访问权限,减少安全风险。
6.2 注意事项
-
密码文件安全:密码文件需放在非web可访问目录下,权限设置为600,避免被外部访问获取;
-
规则顺序:配置allow/deny时,务必注意顺序,deny优先级高于allow,避免出现“允许规则被覆盖”的问题;
-
配置备份:修改Nginx配置前,建议备份原有配置文件,避免配置错误导致服务不可用;
-
动态场景:静态配置适合固定IP,动态IP管理需结合OpenResty、Redis等工具,提升灵活性。
结语:本文讲解的两种访问控制方式,基本可以覆盖大部分生产环境的需求。如果需要更复杂的权限管理(如角色分级、细粒度路径权限),可结合Nginx插件或后端服务实现。建议大家动手实操配置,熟悉指令逻辑和验证方法,才能真正掌握Nginx访问控制的核心用法。
