Более безопасная аутентификация NGINX, чем базовая аутентификация
Я пытался придумать наиболее безопасный метод аутентификации для моего обратного прокси-сервера в NGINX. До сих пор я использовал ngx_http_auth_basic_module без каких-либо проблем, но очевидно, что эта настройка имеет некоторые серьезные последствия для безопасности. Большинство из этих проблем безопасности не являются слишком большой проблемой, потому что мой сайт строго работает с SSL. Я все равно хотел бы обезопасить его как можно больше.
Существуют ли какие-либо альтернативные, улучшенные проверки подлинности механизмы для NGINX?
Я открыт для всего; это не государственная услуга.
2 answers
В NGINX есть модуль дайджест-аутентификации: https://www.nginx.com/resources/wiki/modules/auth_digest/
В отличие от обычной аутентификации, дайджест-аутентификация не отправляет имена пользователей и пароли в виде обычного текста через Интернет.
Если ваш сайт использует только SSL , то обычная аутентификация, вероятно, подойдет. протокол SSL шифрует весь сеанс, включая имена пользователей и пароли.
Хотя этому вопросу 2 года, я хотел бы продолжать отвечать на него.
Страница, на которую ссылается принятый ответ (https://www.nginx.com/resources/wiki/modules/auth_digest /) 11 лет и заявляет, что "...(он) нуждается в более широком тестировании, прежде чем его можно будет считать достаточно безопасным для использования в производстве".
Страница на GitHub (https://github.com/atomx/nginx-http-auth-digest ) также связан и более поздний совет (апрель 2017 г.) авторы могут найти на нем: "Модуль в настоящее время функционирует, но только был протестирован и рассмотрен его автором. И учитывая, что это код безопасности, одной пары глаз почти наверняка недостаточно, чтобы гарантировать, что он на 100% правильный"
.Итак, я пришел к выводу, что принятый ответ дает очень интересный модуль, который, к сожалению, не рекомендуется для защиты конфиденциальных данных.