nginx用户认证：给你的网站加把“数字锁”，这些配置细节必须知道

在搭建网站或API服务时，“谁能访问”是个核心问题。即使你把代码写得再安全，若没有权限控制，敏感内容仍可能被未授权者获取。这时候，nginx的用户认证功能就能派上用场——它不需要复杂的数据库，只需通过简单配置，就能为网站加一道“数字锁”。

为什么选nginx做用户认证？

相比应用层认证（比如在代码里写Session或Token验证），nginx的用户认证更轻量高效。作为服务器的“第一道防线”，nginx能在请求到达应用层前拦截并验证身份，既减轻后端服务的负担，又能灵活适配静态资源、API接口甚至反向代理后的应用服务。

两种常用认证方式，新手先学基础版

nginx实现用户认证主要有两种方式：HTTP Basic Auth（基础认证，适合简单场景）和第三方模块认证（如auth_request，适合复杂权限控制）。今天先讲最常用的HTTP Basic Auth，简单易上手，90%的场景都能覆盖。

步骤1：生成加密的密码文件

首先需要创建一个密码文件，存储允许访问的用户账号和密码。nginx会通过这个文件验证用户身份，且密码默认用bcrypt算法加密（安全级别足够日常使用）。

生成密码文件的命令很简单，使用htpasswd工具（多数Linux系统默认预装，若没有可通过yum install httpd-tools或apt install apache2-utils安装）：

htpasswd -c /etc/nginx/conf.d/userpasswd myuser

• -c参数表示创建新文件（若文件已存在，不加-c会追加用户）；
• /etc/nginx/conf.d/userpasswd是密码文件路径，建议放在nginx配置目录下；
• myuser是第一个用户，执行后会提示输入密码（不会显示明文，输入后回车即可）。

后续添加用户只需执行htpasswd /etc/nginx/conf.d/userpasswd newuser，无需重新生成文件。

步骤2：修改nginx配置，启用认证

找到需要保护的站点配置文件（通常在/etc/nginx/conf.d/目录下，比如example.com.conf），在server或location块中添加认证配置：

server {
    listen 80;
    server_name example.com;

    # 保护整个站点
    location / {
        # 开启认证提示，引号内文字会显示在浏览器弹窗中
        auth_basic "请输入网站访问密码";
        # 指定密码文件路径，必须和步骤1中生成的路径一致
        auth_basic_user_file /etc/nginx/conf.d/userpasswd;
        # 其他配置（如root、index等）
        root /var/www/html;
        index index.html;
    }

    # 若只想保护某个子目录（如/admin），可单独写location
    location /admin {
        auth_basic "管理员访问验证";
        auth_basic_user_file /etc/nginx/conf.d/userpasswd;
        proxy_pass http://backend_server; # 反向代理到后端服务
    }
}

添加后，记得重启nginx验证：nginx -s reload。此时访问example.com，浏览器会弹出密码框，输入正确账号密码才能进入。

进阶：用auth_request实现更复杂的认证

如果需要对接LDAP、OAuth等第三方账号体系，基础版的auth_basic就不够用了。这时可以用nginx的auth_request模块（需nginx编译时启用，主流版本默认支持）。

原理是：nginx先向指定的“认证服务”发起请求，若认证通过（返回200），才允许访问目标资源。例如对接内部LDAP服务：

location /api/protected {
    auth_request /auth-proxy; # 先访问/auth-proxy验证
    proxy_pass http://backend;
}

location = /auth-proxy {
    internal; # 仅允许nginx内部访问，外部无法直接请求
    proxy_pass http://ldap_server/auth; # 后端LDAP认证接口
    proxy_pass_request_body off; # 不传递请求体，仅验证身份
    proxy_set_header Content-Length "";
}

这种方式适合企业级复杂权限管理，但配置复杂度较高，建议先掌握基础版再进阶。

安全配置的3个“避坑点”

用户认证看似简单，但细节没做好可能反而留隐患：

1. 密码文件权限要严格：密码文件必须仅nginx进程可读写，否则可能被恶意读取。执行chmod 600 /etc/nginx/conf.d/userpasswd，并确保所属用户是nginx（如www-data或nginx）。

2. HTTPS+认证才安全：若仅用HTTP，密码会在网络中明文传输（浏览器弹窗的认证信息通过Base64编码，但仍可被中间人攻击破解）。务必先配置HTTPS（用Let’s Encrypt免费证书），让认证信息“加密传输”。

3. 别过度依赖基础认证：auth_basic的密码是明文加密存储（bcrypt算法），适合临时测试或简单场景。若长期使用，建议定期更换密码，且优先用第三方OAuth2.0或JWT认证。

总结：nginx认证的适用场景

• 保护静态资源（如文档、图片）；
• 限制API接口访问（如内部服务、支付回调）；
• 作为反向代理时的“前置过滤器”，减轻后端服务压力。

只需通过简单的配置文件和密码生成，就能让网站访问可控。记住：认证不是“一劳永逸”，而是要结合HTTPS、权限最小化等原则，才能真正筑牢安全防线。

现在，你可以尝试给自己的测试站点加个密码锁，看看配置是否生效——下次访问时，浏览器弹出的认证框会告诉你：“这道安全门，你已经成功关上了。”