<译文>NGINX 实战手册 - 控制访问

介绍

控制你的 web 应用或你的 web 应用的子网的访问是很重要的业务. 在 NGINX 中, 访问控制有多种形式, 像是在网络层拒绝掉, 基于认证策略的允许, 或 HTTP 指令浏览器如何响应. 本章我们将讨论基于网络属性, 认证和如何防止跨域资源共享(Cross-Origin Resource Sharing(CORS))的访问控制.

基于 IP 地址的访问

问题

你需要基于客户端的 IP 地址的控制.

解决方案

使用 HTTP 访问模块来控制对受保护资源的访问:

location / {deny 10.0.0.1;allow 10.0.0.0/20;allow 2001:0db8::/32;deny all;}

在 HTTP, server, 和 location 上下文中, allow和deny指令提供对给出的 client, IP, CIDR range, Unix socket, 或 all 关键字的允许和禁止访问的能力. 规则被依次检查, 直到发现匹配的地址.

讨论

保护在互联网上的有价值的资源和服务必须在对应的层上做. NGINX 提供对其中一些层的能力. deny 指令组织访问给定的上下文, allow指令可以用于限制访问. 你可以使用 IP 地址, IPv4 或 IPv6, CIDR block ranges, 关键字all, 和 Unix socket. 通常要保护某个资源, 应该允许特定区域的内网 IP 地址, 并拒绝所有.