nginx的basic auth配置由ngx_http_auth_basic_module模塊提供��,對HTTP Basic Authentication協(xié)議進行了支持���,用戶可通過該配置設置用戶名和密碼對web站點進行簡單的訪問控制��。
basic auth配置示例:
location / {
auth_basic "closed site";
auth_basic_user_file conf/htpasswd;
}
說明:
- auth_basic可設置為off或其它字符串�,為off時表示不開啟密碼驗證
- auth_basic_user_file 為包含用戶名和密碼的文件�����,文件內容如elastic:YsEm9Tb4.RwB6
踩坑的地方就是這個密碼�����,官方文檔里對支持的密碼類型進行了說明:
- 采用系統(tǒng)函數crypt()加密的密碼��;可通過htpasswd命令或者openssl passwd命令生成
- 通過Apache提供的基于MD5的變種加密算法(apr1),同樣可通過htpasswd或者openssl passwd命令生成
- 以“{scheme}data”格式表示的加密后的密碼�����,RFC 2307中有對該格式的密碼標準進行了說明。其中scheme指的是加密算法����,nginx支持的scheme有PLAIN, SHA,SSHA算法。
使用htpasswd或者openssl passwd命令生成的密碼固然可以使得配置生效�����,nginx能夠正常地進行密碼安全校驗��,如果密碼類型不支持, 則nginx或報錯:
crypt_r() failed (22: Invalid argument)
但是因為業(yè)務的需要�����,我們要用代碼生成nginx的配置并下發(fā)配置到每個云主機中�,之后拉起nginx進程。項目代碼使用go語言編寫��,所以需要找一個對應的函數或者庫生成nginx支持的密碼�。
go語言生成nginx支持的密碼
在進行自動生成密碼開發(fā)之前,思考了一下大概有三種方案可以實現:
- 項目服務器上安裝htpasswd工具或openssl, 通過代碼執(zhí)行本地命令生成加密密碼
- 直接調用Linux系統(tǒng)函數crypt()加密密碼
- 使用go標準庫crypto加密密碼
首先����,第一種方式是不太可取的����,因為需要強依賴服務器環(huán)境�����,所以直接pass�。下面看第二種和第三種方式的具體實現����。
直接調用系統(tǒng)函數crypt()
Linux的crypt函數有兩個參數,函數定義為:
char *crypt(const char *key, const char *salt);
其中參數key為需要加密的內容����,salt參數有兩種類型:
- 長度為2的字符串,取值范圍為[a-zA-Z0-9./]����,如果超過兩位會被忽略,并且只能支持最長8位的key,如果key超過8位�,則8位之后的會被忽略
- $id$salt$encrypted 格式,用于支持其它的加密算法, id表示算法類型��,具體取值有:
ID | Method
─────────────────────────────────────────────
1 | MD5
2a | Blowfish (not in mainline glibc; added in some
| Linux distributions)
5 | SHA-256 (since glibc 2.7)
6 | SHA-512 (since glibc 2.7)
go語言中可以通過import "C"方式直接調用c語言的庫函數�,下面是封裝crypt函數的具體實現:
package crypt
/*
#define _GNU_SOURCE
#include <unistd.h>
*/
import "C"
import (
"sync"
"unsafe"
)
var (
mu sync.Mutex
)
func Crypt(pass, salt string) (string, error) {
c_pass := C.CString(pass)
defer C.free(unsafe.Pointer(c_pass))
c_salt := C.CString(salt)
defer C.free(unsafe.Pointer(c_salt))
mu.Lock()
c_enc, err := C.crypt(c_pass, c_salt)
mu.Unlock()
if c_enc == nil {
return "", err
}
defer C.free(unsafe.Pointer(c_enc))
return C.GoString(c_enc), err
}
生成密碼的具體實現:
func main() {
des, err := crypt.Crypt("Elastic123", "in")
if err != nil {
fmt.Errorf("error:", err)
return
}
sha512, err := crypt.Crypt("Elastic123", "$6$SomeSaltSomePepper$")
if err != nil {
fmt.Errorf("error:", err)
return
}
fmt.Println("des:", des)
fmt.Println("SHA512:", sha512)
}
經過實測,上述通過調用crypt函數生成nginx支持的加密密碼實際可用���,但是需要注意的是如果密碼長度超過8位���,則salt參數只能選擇$id$salt$encrypted類型�����,在測試過程中就是因為踩了這點坑導致nginx只能校驗密碼的前8位��,無語�。
因為在編寫go代碼過程中調用了C函數庫�����,這種方式也需要依賴服務器所處環(huán)境�����,因此最好的方式是采用go標準庫中的函數對密碼進行加密���。
使用crypto函數庫
go的crypto標準庫封裝了很多中加密算法�����,采用SHA加密算法進行密碼加密的代碼如下:
package util
import (
"crypto/sha1"
"encoding/base64"
)
func GetSha(password string) string {
s := sha1.New()
s.Write([]byte(password))
passwordSum := []byte(s.Sum(nil))
return base64.StdEncoding.EncodeToString(passwordSum)
}
測試過程中通過調用GetSha()函數生成了對密碼加密的字符串�,但是直接配置在nginx的conf/htpasswd文件中�,reload nginx配置后測試驗證密碼是否生效,結果還是報錯�����,原來如前文所述�����,SHA加密的密碼必須帶有“{SHA}”前綴才可以����,再次修改配置后經過驗證,成功地用代碼生成了nginx支持的對密碼加密的字符串�����。
以上就是本文的全部內容�����,希望對大家的學習有所幫助�����,也希望大家多多支持腳本之家。
