Nginx基于请求头的访问控制配置

Nginx可以通过检查HTTP请求头来实现精细化的访问控制。以下是几种常见的基于请求头的访问控制配置方法：

1. 允许/拒绝特定请求头

location / {
    # 允许带有特定User-Agent的请求
    if ($http_user_agent ~* (curl|wget)) {
        return 403;
    }

    # 只允许带有特定自定义头的请求
    if ($http_x_custom_header != "expected_value") {
        return 403;
    }
}

2. 使用map指令进行更复杂的头检查

map $http_x_api_key $is_valid_key {
    default 0;
    "12345-67890" 1;
    "abcdef-ghijk" 1;
}

server {
    location /api/ {
        if ($is_valid_key = 0) {
            return 403 "Invalid API Key";
        }
        # 正常处理请求
    }
}

3. 基于多个请求头的组合控制

location /secure/ {
    # 必须同时满足两个条件
    if ($http_x_auth_token = "") {
        return 401;
    }
    if ($http_x_requested_with != "XMLHttpRequest") {
        return 403;
    }
    # 正常处理请求
}

4. 使用auth_request模块进行更复杂的授权

location /private/ {
    auth_request /auth;
    # 其他配置...
}

location = /auth {
    internal;
    proxy_pass http://auth-server;
    proxy_pass_request_body off;
    proxy_set_header Content-Length "";
    proxy_set_header X-Original-URI $request_uri;
    proxy_set_header X-Original-Method $request_method;
    # 传递需要的请求头
    proxy_set_header Authorization $http_authorization;
}

5. 使用ngx_http_headers_module设置和检查头

location /admin/ {
    add_header X-Admin-Access "true" always;

    # 检查自定义头
    if ($http_x_admin_token != "secret123") {
        return 403;
    }
}

6. 基于Referer头的访问控制

location /downloads/ {
    valid_referers none blocked server_names *.example.com;
    if ($invalid_referer) {
        return 403;
    }
}

最佳实践建议

1. 避免过多if指令：Nginx的if指令有性能开销，尽量使用map或其他更高效的方式
2. 保护敏感端点：对管理接口、API端点等实施严格的请求头验证
3. 记录访问日志：记录被拒绝的请求以便审计
4. 考虑使用OpenResty：如果需要更复杂的逻辑，OpenResty提供了Lua脚本支持

通过合理配置请求头检查，可以实现API密钥验证、CSRF防护、爬虫控制等多种安全策略。