我使用nginx和auth_basic模块保护我的开发服务器,但似乎无法find一种方法来指定“身份validation”过期的时间间隔。
我希望能够强制nginx每6个小时要求一次密码。 有没有办法做到这一点? 如果不是,什么是可接受的解决方法?
这可能是不可能的。 似乎在nginx HttpAuthBasicmodulee页面上没有任何文档建议您可以超时基本HTTP身份验证。
Authorization头的HTTP规范也没有指定超时机制。 如果您需要超时,我不希望您能够依赖基本身份验证,除非您也正在面向Web应用程序。
如果您正在使用Web应用程序,则可以在Cookie中维护一个会话,并在一段时间不活动之后超时。 会话超时完成后,使用您的Web应用程序发送以下标题:
HTTP/1.1 401 Unauthorized WWW-Authenticate: Basic Realm="MyApp"
这将提示浏览器再次要求凭证。 如果您需要访问Web应用程序中的用户身份,则应该在REMOTE_USER CGI环境变量中找到它。
为了使用这种技术有效地提供静态资产, XSendfile 可能是有用的 。
如果你仍然在寻找这个问题的解决方案,我相信HttpAuthDigestmodulee是你正在寻找的。
我在网上冲浪的时候才发现它。
这里是链接:
http://wiki.nginx.org/HttpAuthDigestmodulee
https://github.com/samizdatco/nginx-http-auth-digest
希望它可以帮助你。