ProHoster > ะ‘ะปะพะณ > เชตเชนเซ€เชตเชŸ > Nginx เชตเชพเชจเช—เซ€เช“: เช•เซ‡เชชเซเชšเชพ เชธเชพเชฅเซ‡ เชฎเซ‚เชณเชญเซ‚เชค เช…เชงเชฟเช•เซƒเชคเชคเชพ

Nginx เชตเชพเชจเช—เซ€เช“: เช•เซ‡เชชเซเชšเชพ เชธเชพเชฅเซ‡ เชฎเซ‚เชณเชญเซ‚เชค เช…เชงเชฟเช•เซƒเชคเชคเชพ

เช•เซ‡เชชเซเชšเชพ เชธเชพเชฅเซ‡ เช…เชงเชฟเช•เซƒเชคเชคเชพ เชคเซˆเชฏเชพเชฐ เช•เชฐเชตเชพ เชฎเชพเชŸเซ‡, เช…เชฎเชจเซ‡ เชœเชฐเซ‚เชฐ เช›เซ‡ nginx เช…เชจเซ‡ เชคเซ‡เชจเชพ เชชเซเชฒเช—เชˆเชจเซเชธ เชเชจเซเช•เซเชฐเชฟเชชเซเชŸเซ‡เชก-เชธเชคเซเชฐ, เชซเซ‹เชฐเซเชฎ-เช‡เชจเชชเซเชŸ, ctpp2, เช‡เช•เซ‹, เชนเซ‡เชกเชฐเซ‹-เชตเชงเซ, auth_request, auth_basic, เชธเชฎเซ‚เชน-เชตเชฟเชตเชฟเชง. (เชฎเซ‡เช‚ เชฎเชพเชฐเชพ เชซเซ‹เชฐเซเช•เซเชธเชจเซ€ เชฒเชฟเช‚เช•เซเชธ เชชเซเชฐเชฆเชพเชจ เช•เชฐเซ€ เช›เซ‡, เช•เชพเชฐเชฃ เช•เซ‡ เชฎเซ‡เช‚ เช•เซ‡เชŸเชฒเชพเช• เชซเซ‡เชฐเชซเชพเชฐเซ‹ เช•เชฐเซเชฏเชพ เช›เซ‡ เชœเซ‡ เชนเชœเซ เชธเซเชงเซ€ เชฎเซ‚เชณ เชญเช‚เชกเชพเชฐเชฎเชพเช‚ เชงเช•เซ‡เชฒเชตเชพเชฎเชพเช‚ เช†เชตเซเชฏเชพ เชจเชฅเซ€. เชคเชฎเซ‡ เชชเชฃ เช‰เชชเชฏเซ‹เช— เช•เชฐเซ€ เชถเช•เซ‹ เช›เซ‹ เชคเซˆเชฏเชพเชฐ.)

เชถเชฐเซ‚ เช•เชฐเชตเชพ เชฎเชพเชŸเซ‡, เชšเชพเชฒเซ‹ เชธเซ‡เชŸ เช•เชฐเซ€เช

encrypted_session_key "abcdefghijklmnopqrstuvwxyz123456";

เช†เช—เชณ, เชฎเชพเชคเซเชฐ เช•เชฟเชธเซเชธเชพเชฎเชพเช‚, เช…เชงเชฟเช•เซƒเชคเชคเชพ เชนเซ‡เชกเชฐเชจเซ‡ เช…เช•เซเชทเชฎ เช•เชฐเซ‹

more_clear_input_headers Authorization;

เชนเชตเซ‡ เช…เชฎเซ‡ เช…เชงเชฟเช•เซƒเชคเชคเชพ เชธเชพเชฅเซ‡ เชฌเชงเซเช‚ เชธเซเชฐเช•เซเชทเชฟเชค เช•เชฐเซ€เช เช›เซ€เช

auth_request /auth;
location =/auth {
    internal;
    subrequest_access_phase on; # ั€ะฐะทั€ะตัˆะฐะตะผ ะฐะฒั‚ะพั€ะธะทะฐั†ะธะพะฝะฝัƒัŽ ั„ะฐะทัƒ ะฒ ะฟะพะดะทะฐะฟั€ะพัะต
    auth_request off; # ะฝะต ะธัะฟะพะปัŒะทะพะฒะฐั‚ัŒ ะฐะฒั‚ะพั€ะธะทะฐั†ะธัŽ
    set_decode_base64 $auth_decode $cookie_auth; # ั€ะฐัะบะพะดะธั€ัƒะตะผ ะฐะฒั‚ะพั€ะธะทะฐั†ะธะพะฝะฝัƒัŽ ะบัƒะบัƒ
    set_decrypt_session $auth_decrypt $auth_decode; # ั€ะฐััˆะธั„ั€ะพะฒั‹ะฒะฐะตะผ ะฐะฒั‚ะพั€ะธะทะฐั†ะธะพะฝะฝัƒัŽ ะบัƒะบัƒ
    if ($auth_decrypt = "") { return 401 UNAUTHORIZED; } # ะตัะปะธ ะฝะต ัƒะดะฐะปะพััŒ ั€ะฐััˆะธั„ั€ะพะฒะฐั‚ัŒ, ั‚ะพ ะทะฝะฐั‡ะธั‚ ะฟะพะปัŒะทะพะฒะฐั‚ะตะปัŒ ะฝะต ะฐะฒั‚ะพั€ะธะทะพะฒะฐะฝ
    more_set_input_headers "Authorization: Basic $auth_decrypt"; # ะฟะพะดะผะตะฝะธั‚ัŒ ะฐะฒั‚ะพั€ะธะทะฐั†ะธัŽ ะฝะฐ basic (ั‡ั‚ะพะฑั‹ ะธัะฟะพะปัŒะทะพะฒะฐั‚ัŒ ะฟะตั€ะตะผะตะฝะฝัƒัŽ $remote_user)
    auth_basic_user_file /data/nginx/.htaccess; # ะทะฐะดะฐั‘ะผ ั„ะฐะนะป basic ะฐะฒั‚ะพั€ะธะทะฐั†ะธะธ
    auth_basic Auth; # ะฒะบะปัŽั‡ะฐะตะผ basic ะฐะฒั‚ะพั€ะธะทะฐั†ะธัŽ
    echo -n OK; # ะฟะพะปัŒะทะพะฒะฐั‚ะตะปัŒ ะฐะฒั‚ะพั€ะธะทะพะฒะฐะฝ
}

เช…เชงเชฟเช•เซƒเชค เชตเชชเชฐเชพเชถเช•เชฐเซเชคเชพเช“ เชฎเชพเชŸเซ‡ เช…เชฎเซ‡ เชคเซ‡เชฎเชจเชพ เชซเซ‹เชฒเซเชกเชฐเชฎเชพเช‚เชฅเซ€ เชธเชพเชฎเช—เซเชฐเซ€ เชฌเชคเชพเชตเซ€เช เช›เซ€เช

location / {
    alias html/$remote_user/;
}

เช…เชจเซ‡ เชœเซ‹ เชคเซเชฏเชพเช‚ เช•เซ‹เชˆ เช…เชงเชฟเช•เซƒเชคเชคเชพ เชจเชฅเซ€, เชคเซ‹ เช…เชฎเซ‡ เช•เซ‡เชชเซเชšเชพ เชธเชพเชฅเซ‡ เช…เชงเชฟเช•เซƒเชคเชคเชพ เชซเซ‹เชฐเซเชฎ เชฌเชคเชพเชตเซ€เช เช›เซ€เช

error_page 401 = @error401;
location @error401 {
    set_escape_uri $request_uri_escape $request_uri; # ะบะพะดะธั€ัƒะตะผ ะทะฐะฟั€ะพั
    return 303 /login?request_uri=$request_uri_escape; # ะฟะตั€ะตะฝะฐะฟั€ะฐะฒะปัะตะผ ะฝะฐ ะฐะฒั‚ะพั€ะธะทะฐั†ะธะพะฝะฝัƒัŽ ั„ะพั€ะผัƒ ั ะบะฐะฟั‡ะตะน, ัะพั…ั€ะฐะฝะธะฒ ะทะฐะฟั€ะพั
}
location =/login {
    default_type "text/html; charset=utf-8"; # ะทะฐะดะฐั‘ะผ ั‚ะธะฟ
    if ($request_method = GET) { # ะตัะปะธ ั‚ะพะปัŒะบะพ ะฟะพะบะฐะทะฐั‚ัŒ ะฐะฒั‚ะพั€ะธะทะฐั†ะธะพะฝะฝัƒัŽ ั„ะพั€ะผัƒ ั ะบะฐะฟั‡ะตะน
        template login.html.ct2; # ะทะฐะดะฐั‘ะผ ัˆะฐะฑะปะพะฝ
        ctpp2 on; # ะฒะบะปัŽั‡ะฐะตะผ ัˆะฐะฑะปะพะฝะธะทะฐั‚ะพั€
        set_secure_random_alphanum $csrf_random 32; # ะทะฐะดะฐั‘ะผ ัะปัƒั‡ะฐะนะฝะพะต csrf
        encrypted_session_expires 300; # ะทะฐะดะฐั‘ะผ ะฒั€ะตะผั ะถะธะทะฝะธ csrf 5 ะผะธะฝัƒั‚ (5 * 60 = 300)
        set_encrypt_session $csrf_encrypt $csrf_random; # ะทะฐัˆะธั„ั€ะพะฒั‹ะฒะฐะตะผ ัะปัƒั‡ะฐะนะฝะพะต csrf
        set_encode_base64 $csrf_encode $csrf_encrypt; # ะบะพะดะธั€ัƒะตะผ ะทะฐัˆะธั„ั€ะพะฒะฐะฝะฝะพะต csrf
        add_header Set-Cookie "CSRF=$csrf_encode; Max-Age=300"; # ะฟะพะผะตั‰ะฐะตะผ ะทะฐัˆะธั„ั€ะพะฒะฐะฝะฝะพะต csrf ะฒ ะบัƒะบัƒ ะฝะฐ 5 ะผะธะฝัƒั‚ (5 * 60 = 300)
        return 200 "{"csrf":"$csrf_random"}"; # ะฒะพะทะฒั€ะฐั‰ะฐะตะผ json ะดะปั ัˆะฐะฑะปะพะฝะธะทะฐั‚ะพั€ะฐ
    } # ะธะฝะฐั‡ะต - ะพะฑั€ะฐะฑะพั‚ะฐั‚ัŒ ะฐะฒั‚ะพั€ะธะทะฐั†ะธะพะฝะฝัƒัŽ ั„ะพั€ะผัƒ ั ะบะฐะฟั‡ะตะน
    set_form_input $csrf_form csrf; # ะฟะพะปัƒั‡ะฐะตะผ csrf ะธะท ั„ะพั€ะผั‹
    set_unescape_uri $csrf_unescape $csrf_form; # ั€ะฐัะบะพะดะธั€ัƒะตะผ csrf ะธะท ั„ะพั€ะผั‹
    set_decode_base64 $csrf_decode $cookie_csrf; # ั€ะฐัะบะพะดะธั€ัƒะตะผ csrf ะธะท ะบัƒะบะธ
    set_decrypt_session $csrf_decrypt $csrf_decode; # ั€ะฐััˆะธั„ั€ะพะฒั‹ะฒะฐะตะผ csrf ะธะท ะบัƒะบะธ
    if ($csrf_decrypt != $csrf_unescape) { return 303 $request_uri; } # ะตัะปะธ csrf ะธะท ั„ะพั€ะผั‹ ะฝะต ัะพะฒะฟะฐะดะฐะตั‚ ั csrf ะธะท ะบัƒะบะธ, ั‚ะพ ะฟะตั€ะตะฝะฐะฟั€ะฐะฒะธั‚ัŒ ะฝะฐ ะฟะพะบะฐะท ั„ะพั€ะผั‹ ัะฝะพะฒะฐ
    set_form_input $captcha_form captcha; # ะฟะพะปัƒั‡ะฐะตะผ ะบะฐะฟั‡ัƒ ะธะท ั„ะพั€ะผั‹
    set_unescape_uri $captcha_unescape $captcha_form; # ั€ะฐัะบะพะดะธั€ัƒะตะผ ะบะฐะฟั‡ัƒ ะธะท ั„ะพั€ะผั‹
    set_md5 $captcha_md5 "secret${captcha_unescape}${csrf_decrypt}"; # ัั‡ะธั‚ะฐะตะผ md5
    if ($captcha_md5 != $cookie_captcha) { return 303 $request_uri; } # ะตัะปะธ md5 ะฝะต ัะพะฒะฟะฐะดะฐะตั‚ ั ะบะฐะฟั‡ะตะน ะธะท ะบัƒะบะธ, ั‚ะพ ะฟะตั€ะตะฝะฐะฟั€ะฐะฒะธั‚ัŒ ะฝะฐ ะฟะพะบะฐะท ั„ะพั€ะผั‹ ัะฝะพะฒะฐ
    set_form_input $username_form username; # ะฟะพะปัƒั‡ะฐะตะผ ะปะพะณะธะฝ ะธะท ั„ะพั€ะผั‹
    set_form_input $password_form password; # ะฟะพะปัƒั‡ะฐะตะผ ะฟะฐั€ะพะปัŒ ะธะท ั„ะพั€ะผั‹
    set_unescape_uri $username_unescape $username_form; # ั€ะฐัะบะพะดะธั€ัƒะตะผ ะปะพะณะธะฝ ะธะท ั„ะพั€ะผั‹
    set_unescape_uri $password_unescape $password_form; # ั€ะฐัะบะพะดะธั€ัƒะตะผ ะฟะฐั€ะพะปัŒ ะธะท ั„ะพั€ะผั‹
    encrypted_session_expires 2592000; # ะทะฐะดะฐั‘ะผ ะฒั€ะตะผั ะถะธะทะฝะธ ัะตััะธะธ 30 ะดะฝะตะน (30 * 24 * 60 * 60 = 2592000)
    set $username_password "$username_unescape:$password_unescape"; # ะทะฐะดะฐั‘ะผ basic ะฐะฒั‚ะพั€ะธะทะฐั†ะธัŽ
    set_encode_base64 $username_password_encode $username_password; # ะบะพะดะธั€ัƒะตะผ basic ะฐะฒั‚ะพั€ะธะทะฐั†ะธัŽ
    set_encrypt_session $auth_encrypt $username_password_encode; # ะทะฐัˆะธั„ั€ะพะฒั‹ะฒะฐะตะผ basic ะฐะฒั‚ะพั€ะธะทะฐั†ะธัŽ
    set_encode_base64 $auth_encode $auth_encrypt; # ะบะพะดะธั€ัƒะตะผ ะทะฐัˆะธั„ั€ะพะฒะฐะฝะฝัƒัŽ basic ะฐะฒั‚ะพั€ะธะทะฐั†ะธัŽ
    add_header Set-Cookie "Auth=$auth_encode; Max-Age=2592000"; # ะฟะพะผะตั‰ะฐะตะผ ะทะฐัˆะธั„ั€ะพะฒะฐะฝะฝัƒัŽ basic ะฐะฒั‚ะพั€ะธะทะฐั†ะธัŽ ะฒ ะฐะฒั‚ะพั€ะธะทะฐั†ะธะพะฝะฝัƒัŽ ะบัƒะบัƒ ะฝะฐ 30 ะดะฝะตะน (30 * 24 * 60 * 60 = 2592000)
    set $arg_request_uri_or_slash $arg_request_uri; # ะบะพะฟะธั€ัƒะตะผ ะทะฐะฟั€ะพั ะธะท ะฐั€ะณัƒะผะตะฝั‚ะฐ
    set_if_empty $arg_request_uri_or_slash "/"; # ะตัะปะธ ะฐั€ะณัƒะผะตะฝั‚ ะฝะต ะทะฐะดะฐะฝ, ั‚ะพ ะฝะฐั‡ะฐะปะพ
    set_unescape_uri $request_uri_unescape $arg_request_uri_or_slash; # ั€ะฐัะบะพะดะธั€ัƒะตะผ ะทะฐะฟั€ะพั
    return 303 $request_uri_unescape; # ะฟะตั€ะตะฝะฐะฟั€ะฐะฒะปัะตะผ ะฝะฐ ัะพั…ั€ะฐะฝั‘ะฝะฝั‹ะน ะทะฐะฟั€ะพั
}

login.html

<html>
    <body>
        <form method="post">
            <input type="hidden" name="csrf" value="<TMPL_var csrf>" />
            username: <input type="text" name="username" placeholder="Enter User Name..." /><br />
            password: <input type="password" name="password" /><br />
            captcha: <img src="/captcha?csrf=<TMPL_var csrf>"/><input type="text" name="captcha" autocomplete="off" /><br />
            <input type="submit" name="submit" value="submit" />
        </form>
    </body>
</html>

เชธเซ‹เชฐเซเชธ: www.habr.com

เชเช• เชŸเชฟเชชเซเชชเชฃเซ€ เช‰เชฎเซ‡เชฐเซ‹