我在服务器上以测试模式部署了一个应用程序。通过 HTTP 身份验证,对它的访问仅限于选定的用户组。这很好用。问题是,如果我通过不同的“位置”指令提供静态文件,nginx 会为这些文件提供“未授权”。我尝试关闭 auth_basic,但没有骰子。
这是虚拟主机配置:
# Virtual Host
upstream appname {
server 127.0.0.1:4000;
server 127.0.0.1:4001;
server 127.0.0.1:4002;
}
server {
listen 80;
server_name appname.domain.com;
# write app specific log
# make sure you create this file in your log directory before running behind nginx
access_log /home/apps/appname/shared/log/nginx.log main;
# let nginx serve static files directly
# images
location ^~/images {
auth_basic off;
root /home/apps/appname/current/public/images;
}
location ^~/covers {
auth_basic off;
root /home/apps/covers;
}
# # javascript
location ^~/javascripts {
auth_basic off;
root /home/apps/appname/current/public/javascripts;
}
# # css
location ^~/stylesheets {
auth_basic off;
root /home/apps/appname/current/public/style;
}
# Push all other requests to Merb
location / {
# needed to forward user's IP address to merb
proxy_set_header X-Real-IP $remote_addr;
auth_basic "domains";
auth_basic_user_file htpasswd;
if (!-f $request_filename) {
proxy_pass http://appname;
break;
}
}
}
有什么建议么 ?
编辑:
我尝试将图像放在另一个子域下并为其配置单独的“服务器”块 - 没有任何 http_auth。但它仍然在图像上给了我一个 403 禁止!这是我添加的内容:
server {
listen 80;
server_name images.domain.com;
access_log /home/apps/appname/shared/log/nginx_images.log main;
error_log /home/apps/appname/shared/log/nginx_images_error.log;
error_page 500 502 503 504 /500.html;
location = /500.html {
root /home/apps/www/http_error_codes;
}
location /images {
root /home/apps/appname/current/public/images;
}
location /covers {
root /home/apps/covers;
}
open_file_cache max=1000 inactive=20s;
open_file_cache_valid 30s;
open_file_cache_min_uses 2;
open_file_cache_errors on;
}
我还尝试打开一个新浏览器并直接从 images.domain.com 访问图像文件,但它仍然显示 403 禁止!
我不确定你需要
在您不想进行身份验证的区域中。文档说这用于“覆盖从较低级别指令继承的操作”,但在这种情况下您的父指令(服务器块)不包含任何 auth 指令。
这可能是一个错误,当您尝试禁用已启用的继承身份验证时,您将其打开(也许它实际上只是有点翻转?),但我建议从您的静态位置删除该语句。
据我所知,您在位置上使用 ^~ 并没有真正做任何事情,因为您在服务器块中没有任何正则表达式匹配。如果您在此处查看分辨率顺序描述:
http://wiki.nginx.org/NginxHttpCoreModule#location
您会看到使用 ^~ 会阻止检查正则表达式指定的位置。在该文档页面的下方,您会看到对于文字匹配,nginx 选择“最佳”匹配,其中“最佳”通常是具有最长子字符串匹配的文字匹配。我不确定的是内部是否
比“更好”
尽管两者都是文字匹配,但后者只是附加了一个提示。但是由于您在当前设置中不需要 ^~ 位,请尝试删除它们并查看它是否可以解决问题。当然,如果你给了我们一个经过编辑的配置来澄清,并且你的块中有 ~ 或 ~* 匹配项,这对你没有帮助。
如果这些都不起作用,那么您可以尝试移动
和
声明到服务器块。然后把你的
声明到静态位置,在那里他们将禁用你已经打开的东西。
== 更新 ==
这个简单的例子适用于我在 0.7.61 下:
服务器 { 听 80; server_name test.domain.com; access_log /var/log/nginx/sites/test.domain.com/access.log; 错误日志/var/log/nginx/sites/test.domain.com/error.log; 位置/图像{ 根 /srv/www/sites/test.domain.com; } 地点 / { 根 /srv/www/sites/test.domain.com; 索引 index.html; auth_basic 测试; auth_basic_user_file /etc/nginx/auth/test.htpasswd; if ( -f $request_filename ) { 30天到期; 休息; } } }在站点目录中,我只有 index.html 和 /images 中的图形文件。如果我在新的浏览器会话中转到 /images/filename.jpg,它会出现没有错误。如果然后转到站点的根目录,我会收到一个身份验证提示。如果我然后返回到图像,我的日志会显示经过身份验证的用户名(第一个请求只显示“-”)
数据包跟踪显示身份验证信息是由浏览器提供的,GET 为 /images/filename.jpg(没有 401 质询)。我假设 nginx 会记录提供的用户名,无论是否特别需要获取文件(当然,由于挑战是针对 /,浏览器必须为 /images/filename.jpg 提供用户输入的凭据)。
显然我的示例不包括代理,但基本功能就在那里。
我最初测试它时犯的一个错误(你也做过)是在根指令中包含 location 块的子目录。请注意 /images 和 / 的根目录如何相同 - nginx 在尝试检索文件时将添加到子目录中。
如果我使 /images 块的根参数包含 /images,我会得到一个 404,试图从新的浏览器会话中获取 jpg(没有被提示进行身份验证)。我想知道您的代理设置是否导致请求被 / 块捕获,而不是(如我的示例中)落在配置的底部?
尝试将您的文件发送给运行 nginx 的用户(我想是 www-data)