php + nginx项目中的权限详解

2023年5月25日下午12:53 • 人工智能概览

下面是关于php + nginx项目中权限的详细讲解。

一、问题概述

在使用php + nginx架构开发项目时，出于安全考虑，需要对目录权限进行设置以保证只有授权的用户才能访问特定的文件和目录。但是，由于php运行的用户与nginx运行的用户不同，因此需要在配置文件中进行特殊的设置。下面将详细讲解如何在php + nginx项目中进行权限设置。

二、nginx用户组与权限设置

首先，需要了解在nginx中，有一个用于运行进程的用户组。在配置文件中，可以通过以下语句指定：

user www-data;

其中，www-data就是nginx运行进程的用户组。在此基础上，可以通过以下方式设置目录权限：

2.1 chown命令

使用chown命令可以修改文件或目录的所有者和所属组。比如，将某个目录的所有者设置为nginx用户组：

sudo chown -R www-data:www-data /path/to/directory

注意：此处使用了"-R"参数，表示递归修改该目录下所有文件和子目录的所有者。

2.2 chmod命令

使用chmod命令可以修改文件或目录的访问权限。比如，将某个目录的访问权限设置为755：

sudo chmod -R 755 /path/to/directory

注意：此处使用了"-R"参数，表示递归修改该目录下所有文件和子目录的访问权限。

三、php用户组与权限设置

同时，在php程序中，使用的用户组也需要进行设置，以保证php程序可以正确访问需要的文件和目录。

3.1 PHP用户组的获取

可以通过创建一个php文件，在其中使用以下语句获取php运行的用户组：

<?php
echo exec('groups');
?>

3.2 PHP用户组的设置

如果获取到的用户组与nginx不一致，则需要在php的配置文件中进行设置。在php的配置文件php.ini中，可以通过以下语句设置：

; Unix user/group of processes
; Note: The user is mandatory. If the group is not set, the default user's group
;       will be used.
user = www-data
group = www-data

还可以通过以下语句在php程序中动态设置：

chgrp('/path/to/file', 'www-data');

四、示例说明

以下两个示例将说明如何在php + nginx项目中进行权限设置。

4.1 示例1：设置特定目录的访问权限

假设某个项目的根目录在"/var/www/html/project"下，其中有一个需要特定权限的目录"/var/www/html/project/sensitive"，只有特定的用户可以访问。可以按照以下步骤进行设置：

修改nginx配置文件：

location /project/sensitive {
  # 只允许特定的IP访问
  allow 192.168.1.100;
  deny all;

  # 将该目录的所有权设置为nginx用户组
  # 并且设置其访问权限为700
  alias /var/www/html/project/sensitive;
  autoindex off;
  auth_basic "Restricted access";
  auth_basic_user_file /etc/nginx/.htpasswd;
  location ~ \.php$ {
    ...
    fastcgi_param  DOCUMENT_ROOT    /var/www/html/project/sensitive;
    fastcgi_param  SCRIPT_FILENAME /var/www/html/project/sensitive$fastcgi_script_name;
    ...
  }
}

修改php配置文件：

在php.ini中，设置：

user = www-data
group = www-data

在shell中执行以下命令：

sudo chown -R nginx:nginx /var/www/html/project/sensitive
sudo chmod -R 700 /var/www/html/project/sensitive

4.2 示例2：动态设置权限

假设有一个需要在php程序中动态设置权限的场景，比如需要在上传文件时动态设置该文件的所有权和访问权限。可以按照以下步骤进行设置：

创建一个php文件"upload.php"，用于接受文件上传请求：

<?php
$target_dir = "/var/www/html/uploads/";
$target_file = $target_dir . basename($_FILES["file"]["name"]);

if (move_uploaded_file($_FILES["file"]["tmp_name"], $target_file)) {
    chgrp($target_file, "nginx");
    chmod($target_file, 0600);
    echo "The file ". htmlspecialchars(basename($_FILES["file"]["name"])) . " has been uploaded.";
} else {
    echo "Sorry, there was an error uploading your file.";
}
?>

其中，使用了chgrp和chmod函数动态设置文件的所有权和访问权限。

在nginx中设置对该php文件的访问权限：

location /upload.php {
  fastcgi_pass unix:/var/run/php/php7.0-fpm.sock;
  include snippets/fastcgi-php.conf;
  fastcgi_param  DOCUMENT_ROOT    /var/www/html;
  fastcgi_param  SCRIPT_FILENAME /var/www/html$fastcgi_script_name;

  # 只允许特定的IP访问
  allow 192.168.1.100;
  deny all;
}

在php.ini中设置用户组：

user = www-data
group = www-data

通过以上的设置，就可以保证在php + nginx项目中，正确设置文件和目录的权限，并且在程序中及时动态设置运行权限。

本站文章如无特殊说明，均为本站原创，如若转载，请注明出处：php + nginx项目中的权限详解 - Python技术站