auth_digest_evasion_time
指令 `auth_digest_evasion_time` 设置摘要认证规避尝试的时间限制。
Digest Authentication for NGINX
·
httpserverlocation
语法auth_digest_evasion_time time;
默认值300
上下文http, server, location
参数1
说明
NGINX 中的 auth_digest_evasion_time 指令控制在摘要认证过程中用于潜在规避攻击的时间长度(以秒为单位)。当用户请求访问受保护资源时,该指令会建立一个时间窗口,使服务器在多次认证失败后识别是否存在未授权或无效的请求。设置此值有助于缓解暴力破解攻击,通过确定在规避期间服务器应将后续请求视为合法尝试的时间长度来实现。如果攻击者在该定义时间段内试图绕过认证,则根据服务器实施的其他安全策略,其请求可能会被记录或拒绝。
auth_digest_evasion_time 参数采用表示时间周期(秒)的数值。该指令可以放在 NGINX 配置文件的 http、server 或 location 上下文中,根据应用需求提供灵活的配置。它与其他相关参数(如 timeout 和 maxtries)协同工作,为保护资源免受未授权访问提供全面的安全框架。
配置示例
location /secure {
auth_digest_user_file /etc/nginx/digest.passwd;
auth_digest_realm "Protected Area";
auth_digest_evasion_time 300;
}⚠
确保该值为正整数;设置过低可能会增加暴力破解攻击的风险。
⚠
将值设置得过高可能会无意中为攻击者争取更多时间来尝试规避检测。