我在服务器上部署了一个测试模式的应用程序。通过 HTTP 身份验证,只有选定的一组用户才能访问它。这很好。问题是,如果我通过不同的“location”指令提供静态文件,nginx 会为这些文件提供“未授权”信息。我尝试关闭 auth_basic,但没有成功。
这是 vhost 配置:
# Virtual Host
upstream appname {
server 127.0.0.1:4000;
server 127.0.0.1:4001;
server 127.0.0.1:4002;
}
server {
listen 80;
server_name appname.domain.com;
# write app specific log
# make sure you create this file in your log directory before running behind nginx
access_log /home/apps/appname/shared/log/nginx.log main;
# let nginx serve static files directly
# images
location ^~/images {
auth_basic off;
root /home/apps/appname/current/public/images;
}
location ^~/covers {
auth_basic off;
root /home/apps/covers;
}
# # javascript
location ^~/javascripts {
auth_basic off;
root /home/apps/appname/current/public/javascripts;
}
# # css
location ^~/stylesheets {
auth_basic off;
root /home/apps/appname/current/public/style;
}
# Push all other requests to Merb
location / {
# needed to forward user's IP address to merb
proxy_set_header X-Real-IP $remote_addr;
auth_basic "domains";
auth_basic_user_file htpasswd;
if (!-f $request_filename) {
proxy_pass http://appname;
break;
}
}
}
有什么建议 ?
编辑:
我尝试将图像放在另一个子域下,并为其配置单独的“服务器”块 - 没有任何 http_auth。但它仍然给我一个 403 forbidden 图像!这是我添加的内容:
server {
listen 80;
server_name images.domain.com;
access_log /home/apps/appname/shared/log/nginx_images.log main;
error_log /home/apps/appname/shared/log/nginx_images_error.log;
error_page 500 502 503 504 /500.html;
location = /500.html {
root /home/apps/www/http_error_codes;
}
location /images {
root /home/apps/appname/current/public/images;
}
location /covers {
root /home/apps/covers;
}
open_file_cache max=1000 inactive=20s;
open_file_cache_valid 30s;
open_file_cache_min_uses 2;
open_file_cache_errors on;
}
我也尝试打开一个新浏览器并直接从 images.domain.com 访问图像文件,但它仍然显示 403 禁止!
答案1
我不确定你是否需要
auth_basic off
在您不想进行身份验证的区域中。文档说这用于“覆盖可从较低级别指令继承的操作”,但在这种情况下您的父指令(服务器块)不包含任何身份验证指令。
这可能是一个错误,当您尝试在尚未启用继承的身份验证的情况下禁用它时,您会将其打开(也许它实际上只是翻转了一点?),但我建议从静态位置中删除该语句。
据我所知,您在位置上使用 ^~ 实际上没有任何作用,因为您在服务器块中没有任何正则表达式匹配。如果您查看此处的解析顺序描述:
http://wiki.nginx.org/NginxHttpCoreModule#location
您将看到使用 ^~ 会阻止检查正则表达式指定的位置。在该文档页面的下方,您将看到,对于文字匹配,nginx 选择“最佳”匹配,其中“最佳”通常是具有最长子字符串匹配的文字匹配。我不确定的是,内部是否
location /foo
比
location ^~ /foo
尽管两者都是文字匹配,但后者只是附加了提示。但由于您当前设置中不需要 ^~ 位,请尝试删除它们并查看是否能解决问题。当然,如果您向我们提供了经过编辑的配置以进行澄清,并且您的块中确实有 ~ 或 ~* 匹配,那么这对您没有帮助。
如果这些都不起作用,那么你可以尝试移动
auth_basic
和
auth_basic_user_file
语句放入服务器块中。然后把你的
auth_basic off
语句放入静态位置,它们将禁用您已打开的某些内容。
== 更新 ==
这个简单的例子在 0.7.61 版本中对我有效:
服务器 {
听80;
服务器名称 test.domain.com;
访问日志 /var/log/nginx/sites/test.domain.com/access.log;
错误日志/var/log/nginx/sites/test.domain.com/error.log;
位置 /图片 {
根/srv/www/sites/test.domain.com;
}
地点 / {
根/srv/www/sites/test.domain.com;
索引 索引.html;
auth_basic 测试;
auth_basic_user_file /etc/nginx/auth/test.htpasswd;
如果(-f $请求文件名){
30天后到期;
休息;
}
}
}
在网站目录中,我只有 index.html 和 /images 中的一个图形文件。如果我在新的浏览器会话中转到 /images/filename.jpg,它会毫无错误地出现。如果然后转到网站的根目录,我会收到一个身份验证提示。如果我然后返回到图像,我的日志会显示经过身份验证的用户名(其中第一个请求只显示“-”)
数据包跟踪显示,浏览器通过 GET /images/filename.jpg 提供了身份验证信息(没有 401 质询)。我假设 nginx 会记录提供的用户名,无论是否特别需要获取文件(当然,由于质询针对 /,浏览器必须提供用户输入的 /images/filename.jpg 凭据)。
显然我的例子不包括代理,但是基本功能是存在的。
我最初测试时犯的一个错误(您也犯过)是将位置块的子目录包含在 root 指令中。请注意 /images 和 / 的根目录是相同的 - nginx 将在尝试检索文件时添加子目录。
如果我让 /images 块的根参数包含 /images,当我尝试从新的浏览器会话(未提示进行身份验证)获取 jpg 时,会出现 404 错误。我想知道您的代理设置是否导致请求被 / 块捕获,而不是(如我的示例)从配置的底部落下?
答案2
尝试将你的文件分配给运行 nginx 的用户(我猜是 www-data)