HTTP Basic Auth亦有用武之地

发布时间：2022-07-29 09:47:41 所属栏目：安全来源：互联网

导读：昨天《聊聊安全》说到了auth验证，其实在nginx中支持非常简单。 HTTP Basic Authentication是HTTP协议的一部分，第一次请求的时候，服务器会返回401，用户输入用户名和密码后，验证通过则继续访问，反之还是401。那Nginx如何支持它呢? 是不是很简单，有几个

　　昨天《聊聊安全》说到了auth验证，其实在nginx中支持非常简单。

　　HTTP Basic Authentication是HTTP协议的一部分，第一次请求的时候，服务器会返回401，用户输入用户名和密码后，验证通过则继续访问，反之还是401。

　　那Nginx如何支持它呢?

　　是不是很简单，有几个小收获：

　　1：验证通过后，浏览器会将验证信息保存起来，至于什么时候失效目前并不可知。

　　2：修改服务器文件用户名密码后，客户端会再次要求验证。

　　3：在多个vhost上配置的密钥文件是同一个，则客户访问多个vhost，只要验证一次，看上去是个小缺陷，但对用户来说却非常方便。

　　对于内部系统来说，黑白名单设置也非常有用，就看是否符合应用场景，因为很多用户的IP一直在变化，举个例子：

　　复制
　　location /api {
　　    deny 192.168.1.2;
　　    allow 192.168.1.1/24;
　　    allow 127.0.0.1;
　　    deny all;
　　}

（编辑：开发网_开封站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!

微软宣称伊朗黑客使用	开源安全情报引擎Crit
NLP系列之Word2Vec模型	Forrester 攻击面管理