Nginx严格访问代理HTTP资源

1    严格访问

访问能基于客户端的IP地址容许或拒绝或使用基于HTTP验证。

为了容许或拒绝从某个地址及或全部地址的访问，使用allow和deny指令：

location / {

    deny 192.168.1.2;

    allow 192.168.1.1/24;

    allow 127.0.0.1;

    deny all;

}

 为了启用验证，使用auth_basic指令。用户要么输入有效的用户名和密码获取网站的访问。用户名和密码必须在auth_basic_user_file指令命名的文件中列出。

server {

    ...

    auth_basic "closed website";

    auth_basic_user_file conf/htpasswd;

}

 你能让网站的一些区域没有验证即便你须要整个网站验证。在非验证区域配置块中，在auth_basic指令中包括off参数取消继承外部配置级别设置。例如，限制整个网站访问，但有些位置能够公开：

server {

    ...

    auth_basic "closed website";

    auth_basic_user_file conf/htpasswd;

 

    location /public/ {

        auth_basic off;

    }

}

为了联合IP地址和验证，使用satisfy指令。默认，设置为all，所以客户端知足这两种类型的条件授予访问权限。当satisfy指令设置为any，至少知足一个条件授予访问权限。所以，若是IP地址是容许的，未验证的用户能够访问，反之亦然。

 location / {

    satisfy any;

 

    allow 192.168.1.0/24;

    deny  all;

 

    auth_basic           "closed site";

    auth_basic_user_file conf/htpasswd;

}

2    限制访问

能够限制：

• 每一个键值的链接数（例如，每一个IP地址）

• 每一个键值请求速率（在1秒/分钟期间容许处理的请求数）

• 链接的下载速度

注意，IP地址能在NAT设备后共享，所以经过IP地址应该是明智的。

2.1    限制链接数

为了限制链接数，首先使用limit_conn_zone指令定义键并设置共享内存区域参数（worker进程将使用该区域共享键值计数器）。做为第一个参数，指定表达式计算为键。第二个参数，指定区域的名字和大小。

limit_conn_zone $binary_remote_address zone=addr:10m;

 第二，使用limit_conn指令应用location虚拟服务器或整个http上下文的限制。指定共享内存区域的名字做为第一个参数，容许每一个键的链接做为第二个参数。

location /download/ {

    limit_conn addr 1;

}

链接数在IP地址基础上的限制，由于$binary_remote_address变量用做键。经过使用$server_name变量限制指定服务器链接数：

http {

    limit_conn_zone $server_name zone=servers:10m;

 

    server {

        limit_conn servers 1000;

    }

}

 2.2    限制请求速率

为了限制请求速率，首先设置键和共享内存区域保存计数器。

limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s;

rate参数能指定每秒的请求数（r/s）或没分钟的请求数（r/m）。

一旦定义共享内存区域，使用limit_req指令在虚拟服务器或location（或全局，若是须要）为了限制请求速度：

location /search/ {

    limit_req zone=one burst=5;

}

 若是速率超过限制，请求被放入队列延迟处理。burst参数设置等待处理的最大请求数。超过burst限制的请求Nginx响应503错误。

若是burst期间不须要延迟，添加nodelay参数。

limit_req zone=one burst=5 nodelay;

2.3    限制带宽

为了限制每一个链接的带宽，使用limit_rate指令：

location /download/ {

    limit_rate 50k;

}

使用该设置，客户端将可以经过单个链接下载内容速度最大为每秒50千字节。然而，客户端打开各类链接。所以，若是目标是组织下载速度大于指定值，链接的数量也应该限制。例如，每一个IP地址一个链接（若是共享区域使用上面指定的）：

location /download/ {

    limit_conn addr 1;

    limit_rate 50k;

}

为了只在客户端下载某一数据以后利用限制，使用limit_rate_after指令。合理容许客户端快速下载某些数据（例如，文件头——电影索引），限制下载剩下数据的速率（让用户看电影，不下载）。

limit_rate_after 500k;

limit_rate 20k;

下面例子显示链接数和带宽限制联合配置。每一个客户端地址容许最大链接数为5，适合现代浏览器打开同时打开三个链接的状况。与此同时，服务下载的location只容许一个链接：

http {

    limit_conn_zone $binary_remote_address zone=addr:10m

 

    server {

        root /www/data;

        limit_conn addr 5;

 

        location / {

        }

 

        location /download/ {

            limit_conn addr 1;

            limit_rate 1m;

            limit_rate 50k;

        }

    }

}