如何使用动态 DNS 而不是 IP 地址来使用 Nginx 允许列表？

Question

使用 IP 地址作为身份验证令牌通常被认为是不好的做法。Nginx 没有实现您所要求的功能。如果我真的必须找到您提出的问题的解决方案，那么我会采用评论中提出的 Alexey 的解决方案，但是 Nginx 确实有一个非常有用的身份验证/授权功能，它允许您移交决定到您选择/设计的网页。

在其中，您可以使用任何可以编码的身份验证规则/机制。您可以使用会话数据（如果您选择的工具支持此功能），但请考虑任何会话标识符是否可能与您为其提供网关的应用程序实现的标识符相冲突。

例如，在 PHP 中，

<?php
$ipdir="/var/www/access";
$TTL=600;

function deny_access() 
{
   header('HTTP/1.0 403 Forbidden');
   exit;
}

function permit_access()
{
   print "";
   exit;
}

function refresh_config()
{
   // replace files in "/allow", delete aged files from "/deny"
   // then update timestamp on control file.
   // Implementation left as an exercise for the reader
}

if (time() - filemtime($ipdir . "/control.file") > $TTL) {
    refresh_config();
} 
if (file_exists($ipdir . "/deny", $_SERVER['REMOTE_ADDR'])) {
    deny_access();
} else if (file_exists($ipdir . "/allow", $_SERVER['REMOTE_ADDR'])) {
    permit_access();
} else {

}

另一种方法（根据多种因素可能更有效，但仅限于 IP 地址）是维护nginx 本身的查找- 维护外部列表。

Answer 1

使用 IP 地址作为身份验证令牌通常被认为是不好的做法。Nginx 没有实现您所要求的功能。如果我真的必须找到您提出的问题的解决方案，那么我会采用评论中提出的 Alexey 的解决方案，但是 Nginx 确实有一个非常有用的身份验证/授权功能，它允许您移交决定到您选择/设计的网页。

在其中，您可以使用任何可以编码的身份验证规则/机制。您可以使用会话数据（如果您选择的工具支持此功能），但请考虑任何会话标识符是否可能与您为其提供网关的应用程序实现的标识符相冲突。

例如，在 PHP 中，

<?php
$ipdir="/var/www/access";
$TTL=600;

function deny_access() 
{
   header('HTTP/1.0 403 Forbidden');
   exit;
}

function permit_access()
{
   print "";
   exit;
}

function refresh_config()
{
   // replace files in "/allow", delete aged files from "/deny"
   // then update timestamp on control file.
   // Implementation left as an exercise for the reader
}

if (time() - filemtime($ipdir . "/control.file") > $TTL) {
    refresh_config();
} 
if (file_exists($ipdir . "/deny", $_SERVER['REMOTE_ADDR'])) {
    deny_access();
} else if (file_exists($ipdir . "/allow", $_SERVER['REMOTE_ADDR'])) {
    permit_access();
} else {

}

另一种方法（根据多种因素可能更有效，但仅限于 IP 地址）是维护nginx 本身的查找- 维护外部列表。

如何使用动态 DNS 而不是 IP 地址来使用 Nginx 允许列表？

答案1

相关内容