摘要:的配置由模塊提供,對(duì)協(xié)議進(jìn)行了支持��,用戶可通過該配置設(shè)置用戶名和密碼對(duì)站點(diǎn)進(jìn)行簡(jiǎn)單的訪問控制�。其中指的是加密算法,支持的有算法�。
nginx的basic auth配置由ngx_http_auth_basic_module模塊提供�,對(duì)HTTP Basic Authentication協(xié)議進(jìn)行了支持,用戶可通過該配置設(shè)置用戶名和密碼對(duì)web站點(diǎn)進(jìn)行簡(jiǎn)單的訪問控制�����。
basic auth配置示例:
location / {
auth_basic "closed site";
auth_basic_user_file conf/htpasswd;
}
說明:
auth_basic可設(shè)置為off或其它字符串�����,為off時(shí)表示不開啟密碼驗(yàn)證
auth_basic_user_file 為包含用戶名和密碼的文件��,文件內(nèi)容如elastic:YsEm9Tb4.RwB6
踩坑的地方就是這個(gè)密碼,官方文檔里對(duì)支持的密碼類型進(jìn)行了說明:
采用系統(tǒng)函數(shù)crypt()加密的密碼��;可通過htpasswd命令或者openssl passwd命令生成
通過Apache提供的基于MD5的變種加密算法(apr1),同樣可通過htpasswd或者openssl passwd命令生成
以“{scheme}data”格式表示的加密后的密碼���,RFC
2307中有對(duì)該格式的密碼標(biāo)準(zhǔn)進(jìn)行了說明�。其中scheme指的是加密算法���,nginx支持的scheme有PLAIN, SHA,
SSHA算法���。
使用htpasswd或者openssl passwd命令生成的密碼固然可以使得配置生效,nginx能夠正常地進(jìn)行密碼安全校驗(yàn)�����,如果密碼類型不支持, 則nginx或報(bào)錯(cuò):
crypt_r() failed (22: Invalid argument)
但是因?yàn)闃I(yè)務(wù)的需要��,我們要用代碼生成nginx的配置并下發(fā)配置到每個(gè)云主機(jī)中���,之后拉起nginx進(jìn)程�。項(xiàng)目代碼使用go語(yǔ)言編寫��,所以需要找一個(gè)對(duì)應(yīng)的函數(shù)或者庫(kù)生成nginx支持的密碼�。
go語(yǔ)言生成nginx支持的密碼
在進(jìn)行自動(dòng)生成密碼開發(fā)之前���,思考了一下大概有三種方案可以實(shí)現(xiàn):
項(xiàng)目服務(wù)器上安裝htpasswd工具或openssl, 通過代碼執(zhí)行本地命令生成加密密碼
直接調(diào)用Linux系統(tǒng)函數(shù)crypt()加密密碼
使用go標(biāo)準(zhǔn)庫(kù)crypto加密密碼
首先,第一種方式是不太可取的����,因?yàn)樾枰獜?qiáng)依賴服務(wù)器環(huán)境,所以直接pass�����。下面看第二種和第三種方式的具體實(shí)現(xiàn)��。
直接調(diào)用系統(tǒng)函數(shù)crypt()
Linux的crypt函數(shù)有兩個(gè)參數(shù)��,函數(shù)定義為:
char *crypt(const char *key, const char *salt);
其中參數(shù)key為需要加密的內(nèi)容����,salt參數(shù)有兩種類型:
長(zhǎng)度為2的字符串��,取值范圍為[a-zA-Z0-9./]�,如果超過兩位會(huì)被忽略,并且只能支持最長(zhǎng)8位的key,如果key超過8位�����,則8位之后的會(huì)被忽略
$id$salt$encrypted 格式,用于支持其它的加密算法, id表示算法類型����,具體取值有:
ID | Method
─────────────────────────────────────────────
1 | MD5
2a | Blowfish (not in mainline glibc; added in some
| Linux distributions)
5 | SHA-256 (since glibc 2.7)
6 | SHA-512 (since glibc 2.7)
go語(yǔ)言中可以通過import "C"方式直接調(diào)用c語(yǔ)言的庫(kù)函數(shù),下面是封裝crypt函數(shù)的具體實(shí)現(xiàn):
package crypt
/*
#define _GNU_SOURCE
#include
*/
import "C"
import (
"sync"
"unsafe"
)
var (
mu sync.Mutex
)
func Crypt(pass, salt string) (string, error) {
c_pass := C.CString(pass)
defer C.free(unsafe.Pointer(c_pass))
c_salt := C.CString(salt)
defer C.free(unsafe.Pointer(c_salt))
mu.Lock()
c_enc, err := C.crypt(c_pass, c_salt)
mu.Unlock()
if c_enc == nil {
return "", err
}
defer C.free(unsafe.Pointer(c_enc))
return C.GoString(c_enc), err
}
生成密碼的具體實(shí)現(xiàn):
func main() {
des, err := crypt.Crypt("Elastic123", "in")
if err != nil {
fmt.Errorf("error:", err)
return
}
sha512, err := crypt.Crypt("Elastic123", "$6$SomeSaltSomePepper$")
if err != nil {
fmt.Errorf("error:", err)
return
}
fmt.Println("des:", des)
fmt.Println("SHA512:", sha512)
}
經(jīng)過實(shí)測(cè)��,上述通過調(diào)用crypt函數(shù)生成nginx支持的加密密碼實(shí)際可用�����,但是需要注意的是如果密碼長(zhǎng)度超過8位�����,則salt參數(shù)只能選擇$id$salt$encrypted類型��,在測(cè)試過程中就是因?yàn)椴攘诉@點(diǎn)坑導(dǎo)致nginx只能校驗(yàn)密碼的前8位����,無語(yǔ)。
因?yàn)樵诰帉慻o代碼過程中調(diào)用了C函數(shù)庫(kù)��,這種方式也需要依賴服務(wù)器所處環(huán)境�����,因此最好的方式是采用go標(biāo)準(zhǔn)庫(kù)中的函數(shù)對(duì)密碼進(jìn)行加密。
使用crypto函數(shù)庫(kù)
go的crypto標(biāo)準(zhǔn)庫(kù)封裝了很多中加密算法����,采用SHA加密算法進(jìn)行密碼加密的代碼如下:
package util
import (
"crypto/sha1"
"encoding/base64"
)
func GetSha(password string) string {
s := sha1.New()
s.Write([]byte(password))
passwordSum := []byte(s.Sum(nil))
return base64.StdEncoding.EncodeToString(passwordSum)
}
測(cè)試過程中通過調(diào)用GetSha()函數(shù)生成了對(duì)密碼加密的字符串,但是直接配置在nginx的conf/htpasswd文件中��,reload nginx配置后測(cè)試驗(yàn)證密碼是否生效�����,結(jié)果還是報(bào)錯(cuò)����,原來如前文所述,SHA加密的密碼必須帶有“{SHA}”前綴才可以�,再次修改配置后經(jīng)過驗(yàn)證,成功地用代碼生成了nginx支持的對(duì)密碼加密的字符串��。
文章版權(quán)歸作者所有��,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為��,您可以聯(lián)系管理員刪除����。
轉(zhuǎn)載請(qǐng)注明本文地址:http://systransis.cn/yun/40002.html
