我有一个网站,仅供 3 位程序员私人消费。它是简单的 HTML 直接由 nginx 提供,但旨在在办公室内外使用。
我想要一个简单的密码或认证机制。我可以使用 HTTP 认证,但这些往往会经常过期,这让人们使用起来很麻烦。我也担心它比 cookie 更容易被人嗅探。
所以我想知道是否可以在 JavaScript 中在他们的浏览器上设置一个带有唯一长 ID 的 cookie,并告诉 nginx 只接受具有此 cookie 的请求(针对特定子域名)。
这个方案足够简单吗?我该如何
我从Christian Stocker的博客文章中发现了一个看起来非常简单的解决方案。它实现了以下规则:
这真的是最好的两个世界的结合。
这是配置:
map $cookie_letmein $mysite_hascookie {
"someRandomValue" "yes";
default "no";
}
geo $mysite_geo {
192.168.0.0/24 "yes"; #some network which should have access
10.10.10.0/24 "yes"; #some other network which should have access
default "no";
}
map $mysite_hascookie$mysite_geo $mysite_authentication{
"yesyes" "off"; #both cookie and IP are correct => OK
"yesno" "off"; #cookie is ok, but IP not => OK
"noyes" "off"; #cookie is not ok, but IP is ok => OK
default "Your credentials please"; #everythingles => NOT OK
}
server {
listen 80;
server_name mysite.example.org;
location / {
auth_basic $mysite_authentication;
auth_basic_user_file htpasswd/mysite;
add_header Set-Cookie "letmein=someRandomValue;max-age=3153600000;path=/"; #set that special cookie, when everything is ok
proxy_pass http://127.0.0.1:8000/;
proxy_set_header Host $host;
proxy_set_header X-Forwarded-For $remote_addr;
}
}
如果要让Nginx按cookie进行过滤,您可以在cookie不存在时执行某些操作,然后为那三个有权限的人执行真正的操作,例如:
server {
listen 443 ssl http2; # Use HTTPS to protect the secret
...
if ($http_cookie !~ 'secretvalue') {
return 401;
}
location / {
# Auth'd behaviour goes here
}
}
要设置一个永不过期的cookie,请在您的服务器主机名上的页面上启动浏览器的JavaScript控制台,并输入:
document.cookie = 'cookie=secretvalue;max-age=3153600000;path=/;secure';
技术上来说这并不是永久的,但100年应该足够了。如果你想的话也可以使用expires=以RFC1123格式设置绝对日期,并且如果需要的话可以轻松调整path。这也会在cookie上设置secure标志,因此只有通过HTTPS才能发送。
还有一些浏览器插件可以让你创建任意的cookie,但现代浏览器都有JavaScript控制台。