当前位置: 移动技术网 > 网络运营>服务器>nginx > 详解nginx basic auth配置踩坑记

详解nginx basic auth配置踩坑记

2019年04月17日  | 移动技术网网络运营  | 我要评论

比比琼斯快播,辣椒酱制作方法,红苹果图片

nginx的basic auth配置由ngx_http_auth_basic_module模块提供,对http basic authentication协议进行了支持,用户可通过该配置设置用户名和密码对web站点进行简单的访问控制。

basic auth配置示例:

location / {
  auth_basic      "closed site";
  auth_basic_user_file conf/htpasswd;
}

说明:

  1. auth_basic可设置为off或其它字符串,为off时表示不开启密码验证
  2. auth_basic_user_file 为包含用户名和密码的文件,文件内容如elastic:ysem9tb4.rwb6

踩坑的地方就是这个密码,官方文档里对支持的密码类型进行了说明:

  1. 采用系统函数crypt()加密的密码;可通过htpasswd命令或者openssl passwd命令生成
  2. 通过apache提供的基于md5的变种加密算法(apr1),同样可通过htpasswd或者openssl passwd命令生成
  3. 以“{scheme}data”格式表示的加密后的密码,rfc 2307中有对该格式的密码标准进行了说明。其中scheme指的是加密算法,nginx支持的scheme有plain, sha,ssha算法。

使用htpasswd或者openssl passwd命令生成的密码固然可以使得配置生效,nginx能够正常地进行密码安全校验,如果密码类型不支持, 则nginx或报错:

crypt_r() failed (22: invalid argument)

但是因为业务的需要,我们要用代码生成nginx的配置并下发配置到每个云主机中,之后拉起nginx进程。项目代码使用go语言编写,所以需要找一个对应的函数或者库生成nginx支持的密码。

go语言生成nginx支持的密码

在进行自动生成密码开发之前,思考了一下大概有三种方案可以实现:

  1. 项目服务器上安装htpasswd工具或openssl, 通过代码执行本地命令生成加密密码
  2. 直接调用linux系统函数crypt()加密密码
  3. 使用go标准库crypto加密密码

首先,第一种方式是不太可取的,因为需要强依赖服务器环境,所以直接pass。下面看第二种和第三种方式的具体实现。

直接调用系统函数crypt()

linux的crypt函数有两个参数,函数定义为:

char *crypt(const char *key, const char *salt);

其中参数key为需要加密的内容,salt参数有两种类型:

  1. 长度为2的字符串,取值范围为[a-za-z0-9./],如果超过两位会被忽略,并且只能支持最长8位的key,如果key超过8位,则8位之后的会被忽略
  2. $id$salt$encrypted 格式,用于支持其它的加密算法, id表示算法类型,具体取值有:
id | method
  ─────────────────────────────────────────────
  1  | md5
  2a | blowfish (not in mainline glibc; added in some
    | linux distributions)
  5  | sha-256 (since glibc 2.7)
  6  | sha-512 (since glibc 2.7)

go语言中可以通过import "c"方式直接调用c语言的库函数,下面是封装crypt函数的具体实现:

package crypt

/*
#define _gnu_source
#include <unistd.h>
*/
import "c"

import (
  "sync"
  "unsafe"
)

var (
  mu sync.mutex
)


func crypt(pass, salt string) (string, error) {
  c_pass := c.cstring(pass)
  defer c.free(unsafe.pointer(c_pass))

  c_salt := c.cstring(salt)
  defer c.free(unsafe.pointer(c_salt))

  mu.lock()
  c_enc, err := c.crypt(c_pass, c_salt)
  mu.unlock()

  if c_enc == nil {
    return "", err
  }
  defer c.free(unsafe.pointer(c_enc))

  return c.gostring(c_enc), err
}

生成密码的具体实现:

func main() {
  des, err := crypt.crypt("elastic123", "in")
  if err != nil {
    fmt.errorf("error:", err)
    return
  }

  sha512, err := crypt.crypt("elastic123", "$6$somesaltsomepepper$")
  if err != nil {
    fmt.errorf("error:", err)
    return
  }

  fmt.println("des:", des)
  fmt.println("sha512:", sha512)
}

经过实测,上述通过调用crypt函数生成nginx支持的加密密码实际可用,但是需要注意的是如果密码长度超过8位,则salt参数只能选择$id$salt$encrypted类型,在测试过程中就是因为踩了这点坑导致nginx只能校验密码的前8位,无语。

因为在编写go代码过程中调用了c函数库,这种方式也需要依赖服务器所处环境,因此最好的方式是采用go标准库中的函数对密码进行加密。

使用crypto函数库

go的crypto标准库封装了很多中加密算法,采用sha加密算法进行密码加密的代码如下:

package util

import (
  "crypto/sha1"
  "encoding/base64"
)

func getsha(password string) string {
  s := sha1.new()
  s.write([]byte(password))
  passwordsum := []byte(s.sum(nil))
  return base64.stdencoding.encodetostring(passwordsum)
}

测试过程中通过调用getsha()函数生成了对密码加密的字符串,但是直接配置在nginx的conf/htpasswd文件中,reload nginx配置后测试验证密码是否生效,结果还是报错,原来如前文所述,sha加密的密码必须带有“{sha}”前缀才可以,再次修改配置后经过验证,成功地用代码生成了nginx支持的对密码加密的字符串。

以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持移动技术网。

您可能感兴趣的文章:

如对本文有疑问,请在下面进行留言讨论,广大热心网友会与你互动!! 点击进行留言回复

相关文章:

验证码:
最近更新的文章
大家感兴趣的文章
移动技术网