Nginx 认证实现方法

Nginx 提供了多种认证方式，以下是常见的几种实现方法：

1. 基本认证 (Basic Authentication)

这是最简单的 HTTP 认证方式：

1. 创建密码文件：

sudo htpasswd -c /etc/nginx/.htpasswd username

2. 在 Nginx 配置中添加：

server {
    ...
    location /protected/ {
        auth_basic "Restricted Content";
        auth_basic_user_file /etc/nginx/.htpasswd;
    }
}

2. 基于 IP 的访问控制

location /admin/ {
    allow 192.168.1.0/24;
    allow 10.1.1.0/16;
    deny all;
}

3. 客户端证书认证 (mTLS)

1. 生成 CA 和客户端证书
2. Nginx 配置：

server {
    ssl_client_certificate /path/to/ca.crt;
    ssl_verify_client on;

    location /secure/ {
        if ($ssl_client_verify != SUCCESS) {
            return 403;
        }
    }
}

4. JWT 认证

需要配合 Lua 或 OpenResty：

location /api/ {
    access_by_lua_block {
        local jwt = require("resty.jwt")
        local auth_header = ngx.var.http_Authorization
        if not auth_header then
            ngx.exit(ngx.HTTP_UNAUTHORIZED)
        end

        local jwt_obj = jwt:verify("your-secret-key", auth_header)
        if not jwt_obj.verified then
            ngx.exit(ngx.HTTP_FORBIDDEN)
        end
    }
}

5. OAuth2 代理

可以使用第三方工具如 oauth2-proxy 配合 Nginx 实现。

6. LDAP 认证

需要安装 nginx-auth-ldap 模块：

auth_ldap "Forbidden";
auth_ldap_servers ldap1;

location /secure/ {
    auth_ldap "LDAP Authentication";
    auth_ldap_servers ldap1;
}

最佳实践建议

1. 对于 Web 应用，建议使用 JWT 或 OAuth2
2. 内部管理界面可以使用基本认证+IP限制
3. API 服务推荐使用 JWT 或 mTLS
4. 生产环境避免单独使用基本认证，应配合 HTTPS

需要哪种认证方式的详细配置，我可以提供更具体的指导。