pta_enable
在 NGINX 的特定 location 中启用或禁用时段认证 (PTA)。
Period of Time Authentication module for NGINX
·
location
语法pta_enable on | off;
默认值off
上下文location
参数flag
说明
pta_enable 指令属于 NGINX 的时段认证 (PTA) 模块,该模块通过检查查询字符串或 Cookie 中的加密令牌来实现对内容的安全访问控制。当该指令在特定 location 块中设置为 'on' 时,NGINX 会将传入请求与包含 CRC32 校验和、过期时间和请求的 URI 路径的加密字符串进行校验。该校验有助于确保仅在令牌有效且在指定时间范围内时才授予授权访问。
该指令与其他若干配置配合使用,例如 pta_1st_key、pta_1st_iv、pta_2nd_key 和 pta_2nd_iv,用于建立解密 PTA 令牌所需的加密密钥和初始化向量。当该指令未启用('off')时,请求将绕过认证检查,从而允许对指定 location 的不受限制访问。因此,pta_enable 对于保护需要时间敏感访问控制的路径至关重要。
要使用此指令,必须正确配置 PTA 模块,指定在处理请求以创建和验证 PTA 令牌时使用的加密密钥。配置错误可能导致访问约束行为不一致并带来潜在的安全漏洞。
配置示例
location /foo/ {
pta_enable on;
}⚠
确保 PTA keys 和 IVs 被正确指定;错误的值将阻止成功解密。
⚠
注意 PTA token 中设置的过期时间;超出该时间范围的请求将被拒绝访问。
⚠
如果此指令未设置为 'on',则对该 location 的所有请求将被允许且无需身份验证。