在nginx中使用allow和deny做Access Control访问控制时，有时会出现不生效的问题。

所以我们用实验来验证下

nginx配置如下：

1. 1. server {
   2. listen 80 ;
   3. server_name kibana.ipcpu.com;
   4. index index.html index.htm index.php;
   5. #deny bad ip
   6. deny 211.81.175.6;
   7.  
   8. location /nginxacc {
   9. root /home/htdocs/kibana;
   10. #deny bad ip
   11. deny 211.81.175.8;
   12. }
   13.  
   14. location / {
   15. root /home/htdocs/kibana;
   16. }
   17. }

我们的预期结果是IP211.81.175.6全站不允许访问，IP211.81.175.8不允许访问nginxacc目录。

测试

分别访问域名根目录

1. 1. [root@BJZW-175-8 ~]$curl -o /dev/null -s -w %{http_code} http://kibana.ipcpu.com/
   2. 200
   3. #
   4. [root@BJZW-175-6 ~]#curl -o /dev/null -s -w %{http_code} http://kibana.ipcpu.com/
   5. 403

测试结果211.81.175.8可以访问，211.81.175.6不能访问。符合预期结果。

分别访问域名nginxacc目录

1. 1. [root@BJZW-175-8 ~]$curl -o /dev/null -s -w %{http_code} http://kibana.ipcpu.com/nginxacc/
   2. 403
   3. #
   4. [root@BJZW-175-6 ~]#curl -o /dev/null -s -w %{http_code} http://kibana.ipcpu.com/nginxacc/
   5. 200

测试结果211.81.175.8不能访问，211.81.175.6可以访问。不符合预期结果。

解释

上下级概念：上一级与下一级是一个相对概念，http相对server为上一级，server为http下一级；server相对location为上一级，location为server下一级。

如果当前ACL(child->rules)为空，则继承上一级的ACL(parent->rules)。

如果当前级别中定义过ACL之后，不会与上一级的ACL进行列表合并，只有当前列表生效。

nginx源代码 src/http/modules/ngx_http_access_module.c 中的 ngx_http_access_merge_loc_conf 函数有相关定义。

参考文章

http://blog.liulantao.com/blog/2014/2014-06-05-nginx-access-control-with-allow-deny.html