用Nginx+Lua实现高性能、高可靠、安全的登陆验证

最新推荐文章于 2024-08-09 08:04:14 发布
最新推荐文章于 2024-08-09 08:04:14 发布
阅读量3.1w 收藏 5
点赞数

对于一个中型或大型网站,有n个子项目在不同的服务器甚至不同的IDC部署和运行,SSO(单点登录)和无SESSION已经是必备的功能。在这种情况下用户登陆后的身份验证就会是一个问题。一种简单的解决办法就是登陆时将用户的身份写入cookie,为了安全再写入一个cookie的校验,防止cookie篡改。

1 <?php
2 $secretkey = '1234567890abcdefghi';
3 // ……   取出数据到 $data 的代码略去
4 if( md5( sha1( $password ) ) == $data [ 'passowrd' ] ) { // 登陆成功
5     $_COOKIE [ 'uid' ] = 1234;
6     $_COOKIE [ 'nickname' ] = 'soga';
7     $_COOKIE [ 'token' ] = md5( "uid:1234&nickname:soga&secretkey:1234567890abcdefghi" );
8 }
9 ?>

验证登陆合法性:

01 <?php
02 $secretkey = '1234567890abcdefghi';
03
04 if( $_COOKIE [ 'token' ] == md5( "uid: { $_COOKIE [ 'uid' ] } &nickname: { $_COOKIE [ 'nickname' ] } &secretkey: { $secretkey } " ) ) {
05     $login = true;
06 }
07 else {
08     $login = false;
09 }
10 ?>

这样实现有一些问题存在,密钥$secretkey会暴露在所有的程序内,存在安全隐患。所有产品的程序中都需要内置token校验的算法。

如果能在webserver层进行校验,直接告诉应用层校验结果,就可以避免上面的问题。找一种webserver上安全、稳定、高性能的实现,并且开发成本低的方案。我选择的是Nginx + ngx_lua。Nginx的稳定性、高性能搭配Lua的高性能、低成本开发,简直绝配。

Nginx+ngx_lua的编译安装就不在这里讲了。

Nginx 配置:

1 access_by_lua_file '/dir/test.lua';

test.lua 代码:

01 local secretkey = ' 1234567890abcdefghi'
02 if ngx . var . cookie_uid == nil or ngx . var . cookie_nickname == nil or ngx . var . cookie_token == nil then
03 ngx . req . set_header( " Check-Login" , " NULL")
04 return
05 end
06
07 local ctoken = ngx . md5( ' uid:' .. ngx . var . cookie_uid .. ' &nickname:' .. ngx . var . cookie_nickname .. ' &secretkey:' .. secretkey)
08
09 if ctoken == ngx . var . cookie_token then
10 ngx . req . set_header( " Check-Login" , " Yes")
11 else
12 ngx . req . set_header( " Check-Login" , " No")
13 end
14
15 return

然后就可以测试一下了:

无cookie登陆测试

01 [root@localhost soft]# curl -v "http://yuenshui.com:88/test.php"
02 * About to connect() to yuenshui.com port 88
03 *   Trying 122.0.66.162… connected
04 * Connected to yuenshui.com (122.0.66.162) port 88
05 > GET /test.php HTTP/1.1
06 > User-Agent: curl/7.15.5 (x86 _64-redhat-linux-gnu) libcurl/7.15.5 OpenSSL/0.9.8b zlib/1.2.3 libidn/0.6.5
07 > Host: yuenshui.com:88
08 > Accept: */*
09 >
10 < HTTP/1.1 200 OK
11 < Server: nginx
12 < Date: Sun, 24 Jun 2012 10:38:09 GMT
13 < Content-Type: application/octet-stream
14 < Transfer-Encoding: chunked
15 < Connection: keep-alive
16 nil
17 <pre> $ _SERVER:
18 Array
19 (
20     [ TMP ] = > / tmp
21     [ TMPDIR ] = > / tmp
22     [ TEMP ] = > / tmp
23     [ OSTYPE ] = >
24     [ MACHTYPE ] = >
25     [ MALLOC_CHECK_ ] = > 2
26     [ USER ] = > www
27     [ HOME ] = > / home / www
28     [ FCGI_ROLE ] = > RESPONDER
29     [ SERVER_SOFTWARE ] = > nginx
30     [ QUERY_STRING ] = >
31     [ REQUEST_METHOD ] = > GET
32     [ CONTENT_TYPE ] = >
33     [ CONTENT_LENGTH ] = >
34     [ SCRIPT_NAME ] = > / test.php
35     [ REQUEST_URI ] = > / test.php
36     [ DOCUMENT_URI ] = > / test.php
37     [ SERVER_PROTOCOL ] = > HTTP / 1 . 1
38     [ REMOTE_ADDR ] = > 114 . 93 . 76 . 130
39     [ REMOTE_PORT ] = > 1037
40     [ SERVER_ADDR ] = > 122 . 0 . 66 . 162
41     [ SERVER_PORT ] = > 88
42     [ SERVER_NAME ] = > yuenshui.com
43     [ REDIRECT_STATUS ] = > 200
44     [ HTTP_USER_AGENT ] = > curl / 7 . 15 . 5 ( x 86 _ 64 - redhat - linux - gnu) libcurl / 7 . 15 . 5 OpenSSL / 0 . 9 . 8 b zlib / 1 . 2 . 3 libidn / 0 . 6 . 5
45     [ HTTP_HOST ] = > yuenshui.com: 88
46     [ HTTP_ACCEPT ] = > */*
47     [HTTP_CHECK_LOGIN] => NULL
48     [ PHP_SELF ] = > / test.php
49     [ REQUEST_TIME ] = > 1340534289
50     [ argv ] = > Array
51         (
52         )
53
54     [ argc ] = > 0
55 )
56
57 $ _COOKIE:
58 Array
59 (
60 )

token错误的测试:

01 [root@localhost soft]# curl -b "uid=12345;nickname=soga;token=aa6f21ec0fcf008aa5250904985a817b"  "http://yuenshui.com:88/test.php"
02 <pre> $ _SERVER:
03 Array
04 (
05     [ TMP ] = > / tmp
06     [ TMPDIR ] = > / tmp
07     [ TEMP ] = > / tmp
08     [ OSTYPE ] = >
09     [ MACHTYPE ] = >
10     [ MALLOC_CHECK_ ] = > 2
11     [ USER ] = > www
12     [ HOME ] = > / home / www
13     [ FCGI_ROLE ] = > RESPONDER
14     [ SERVER_SOFTWARE ] = > nginx
15     [ QUERY_STRING ] = >
16     [ REQUEST_METHOD ] = > GET
17     [ CONTENT_TYPE ] = >
18     [ CONTENT_LENGTH ] = >
19     [ SCRIPT_NAME ] = > / test.php
20     [ REQUEST_URI ] = > / test.php
21     [ DOCUMENT_URI ] = > / test.php
22     [ SERVER_PROTOCOL ] = > HTTP / 1 . 1
23     [ REMOTE_ADDR ] = > 114 . 93 . 76 . 130
24     [ REMOTE_PORT ] = > 1059
25     [ SERVER_ADDR ] = > 122 . 0 . 66 . 162
26     [ SERVER_PORT ] = > 88
27     [ SERVER_NAME ] = > yuenshui.com
28     [ REDIRECT_STATUS ] = > 200
29     [ HTTP_USER_AGENT ] = > curl / 7 . 15 . 5 ( x 86 _ 64 - redhat - linux - gnu) libcurl / 7 . 15 . 5 OpenSSL / 0 . 9 . 8 b zlib / 1 . 2 . 3 libidn / 0 . 6 . 5
30     [ HTTP_HOST ] = > yuenshui.com: 88
31     [ HTTP_ACCEPT ] = > */*
32     [ HTTP_COOKIE ] = > uid = 12345 ;nickname = soga;token = aa 6 f 21 ec 0 fcf 008 aa 5250904985 a 817b
33     [HTTP_CHECK_LOGIN] => No
34     [ PHP_SELF ] = > / test.php
35     [ REQUEST_TIME ] = > 1340537366
36     [ argv ] = > Array
37         (
38         )
39
40     [ argc ] = > 0
41 )
42
43 $ _COOKIE:
44 Array
45 (
46     [uid] => 12345
47     [nickname] => soga
48     [token] => aa6f21ec0fcf008aa5250904985a817b
49 )

token正确的测试:

01 [root@localhost soft]# curl -b "uid=1234;nickname=soga;token=aa6f21ec0fcf008aa5250904985a817b"  "http://yuenshui.com:88/test.php"
02 <pre> $ _SERVER:
03 Array
04 (
05     [ TMP ] = > / tmp
06     [ TMPDIR ] = > / tmp
07     [ TEMP ] = > / tmp
08     [ OSTYPE ] = >
09     [ MACHTYPE ] = >
10     [ MALLOC_CHECK_ ] = > 2
11     [ USER ] = > www
12     [ HOME ] = > / home / www
13     [ FCGI_ROLE ] = > RESPONDER
14     [ SERVER_SOFTWARE ] = > nginx
15     [ QUERY_STRING ] = >
16     [ REQUEST_METHOD ] = > GET
17     [ CONTENT_TYPE ] = >
18     [ CONTENT_LENGTH ] = >
19     [ SCRIPT_NAME ] = > / test.php
20     [ REQUEST_URI ] = > / test.php
21     [ DOCUMENT_URI ] = > / test.php
22     [ SERVER_PROTOCOL ] = > HTTP / 1 . 1
23     [ REMOTE_ADDR ] = > 114 . 93 . 76 . 130
24     [ REMOTE_PORT ] = > 1059
25     [ SERVER_ADDR ] = > 122 . 0 . 66 . 162
26     [ SERVER_PORT ] = > 88
27     [ SERVER_NAME ] = > yuenshui.com
28     [ REDIRECT_STATUS ] = > 200
29     [ HTTP_USER_AGENT ] = > curl / 7 . 15 . 5 ( x 86 _ 64 - redhat - linux - gnu) libcurl / 7 . 15 . 5 OpenSSL / 0 . 9 . 8 b zlib / 1 . 2 . 3 libidn / 0 . 6 . 5
30     [ HTTP_HOST ] = > yuenshui.com: 88
31     [ HTTP_ACCEPT ] = > */*
32     [ HTTP_COOKIE ] = > uid = 1234 ;nickname = soga;token = aa 6 f 21 ec 0 fcf 008 aa 5250904985 a 817b
33     [HTTP_CHECK_LOGIN] => Yes
34     [ PHP_SELF ] = > / test.php
35     [ REQUEST_TIME ] = > 1340537463
36     [ argv ] = > Array
37         (
38         )
39
40     [ argc ] = > 0
41 )
42
43 $ _COOKIE:
44 Array
45 (
46     [uid] => 12345
47     [nickname] => soga
48     [token] => aa6f21ec0fcf008aa5250904985a817b
49 )

http://yuenshui.com:88/test.php   打印信息的PHP代码:

01 <pre> <?php
02 echo " \$ _SERVER: \r\n ";
03 unset( $_SERVER [ 'SCRIPT_FILENAME' ]);
04 unset( $_SERVER [ 'DOCUMENT_ROOT' ]);
05 unset( $_SERVER [ 'PATH' ]);
06 unset( $_SERVER [ 'HOSTNAME' ]);
07 unset( $_SERVER [ 'GATEWAY_INTERFACE' ]);
08 print_r( $_SERVER);
09 echo " \r\n\$ _COOKIE: \r\n ";
10 print_r( $_COOKIE);
11 ?>

上面是所有的测试程序。大家也可以通过curl进行测试http://yuenshui.com:88/test.php

langeldep
关注
nginx+lua+redis实现token验证
09-29
nginx+lua+redis实现token验证实现基本的token验证、反向代理转发内部服务,lua连接redis封装、lua域名解析封装、lua域名脚本等
cas-auth-lua-nginx:在 NGINX 级别对 CAS 用户进行身份验证Lua 模块
07-02
Lua中的NGINX CAS认证模块 这是一个 Lua 模块的 POC 项目,用于在到达应用程序之前对 NGINX 上的 CAS 用户进行身份验证。 模块的工作原理 身份验证后,将创建以下 cookie: usrtoken:是一个带有秘密的 sha1 + base64 签名 cookie usrid:是代表CAS用户名的base64签名cookie 配置 编辑 nginx 配置:config/default 将 $cas_server 替换为您的 CAS 票证身份验证 URL 用秘密令牌替换 $secret 例子 示例 rails 应用程序演示了如何验证签名的 cookie
Nginx+Lua实现sso单点登录(请求鉴权+获取用户Session信息)
qq_43147161的博客
02-18 4583
Nginx+Lua实现sso单点登录
lua-resty-jwt 开源项目安装与使用指南
最新发布
gitblog_00791的博客
08-09 478
lua-resty-jwt 开源项目安装与使用指南 lua-resty-jwtJWT For The Great Openresty项目地址:https://gitcode.com/gh_mirrors/lu/lua-resty-jwt 一、项目介绍 lua-resty-jwt 是一个用于OpenResty环境下JWT(JSON Web Token)验证的库,由SkyLothar维护并在GitH...
nginx+lua实现登陆验证
caoshunxin01的专栏
02-23 3161
用于在多台服务器上单点登录SSO、无SESSION,用户身份的验证。 1、安装lua yum install readline.x86_64 readline-devel.x86_64 wget http://www.lua.org/ftp/lua-5.1.5.tar.gz make linux make install 注意:不要使用5.2版本,5.2版本的luanginx
ngx-http-cas-client-lua:使用CAS集成支持构建Nginx
05-02
ngx-http-cas-client-lua 警告,CAS集成功能正常,但是里程可能会有所不同。 这是一个完全使用nginxlua模块编写的CAS客户端。 这个想法是,您将通过CAS身份验证来保护Nginx位置。 通过提供一个CAS端点(目前在nginx.conf中必须具有一个相应的条目,请参阅“限制”部分),您将能够将访问权限限制为仅由CAS服务器验证的用户。 为什么这有用? 许多分离的产品之间的CAS集成都很困难。 对于grails应用程序,您需要导入一个shiro插件以进行CAS集成,其他方面在这方面通常是相同的(Django CAS,node CAS)。 相反,您可以使用一台虚拟服务器来保护许多应用程序,而将集成开销降至最低。 建造 似乎是基于luanginx处理的事实上的标准,因此请使用它。 它内置了很多功能(无论如何都需要)(以及单独的模块,例如ssl支持)。 取决
Nginx+Lua+Redis构建并发Web应用
09-10
Nginx中,我们可以使用OpenResty(一个基于NginxLua的Web开发平台)将Lua脚本集成到Nginx配置中,实现动态逻辑处理,如数据验证、计算或者与外部服务交互。 Redis是一个内存数据结构存储系统,常被用作数据库、...
nginx+lua+redis 集群 连接插件和脚本
12-09
在构建高性能可用性的Web服务时,常常会利用到Nginx作为反向代理和负载均衡器,Lua作为扩展Nginx功能的脚本语言,而Redis则作为内存数据存储,提供快速的数据访问。本资源包“nginx+lua+redis集群 连接插件和...
Nginx+upload+lua实现简单文件上传服务
03-31
Nginx作为一个高性能的HTTP和反向代理服务器,结合lua脚本语言,可以实现效且灵活的文件上传服务。本教程将详细解析如何使用Nginx、upload模块以及lua来搭建一个简单的文件上传系统。 首先,我们需要了解Nginx的...
Nginx+lua通过url传参的方式实现动态代理
07-20
- **OpenResty**:是一个基于NginxLua高性能Web平台,它极大地简化了在Nginx上编写复杂的Web应用的过程。OpenResty提供了强大的Lua API,可以用来处理HTTP请求和响应,实现复杂的功能逻辑。 #### 需求分析 本...
基于Nginx+Lua实现的Token鉴权认证
qq_43147161的博客
09-22 3456
基于Nginx+Lua实现的Token鉴权认证 一、Openresty模块: OpenResty 是一个基于 Nginx的可伸缩的 Web 平台,同时也是一个强大的 Web 应用服务器,Web 开发人员可以使用 Lua 脚本语言调动 Nginx 支持的各种 C 以及 Lua 模块,更主要的是在性能方面,OpenResty可以 快速构造出足以胜任 10K 以上并发连接响应的超高性能 Web 应用系统。 OpenResty 的目标是让Web 服务直接跑在 Nginx 服务内部,充分利用 Nginx 的非阻塞 I
nginx实战-基于lua语言
02-08
Nginx实战:基于Lua语言的配置、开发与架构详解
Nginx+Lua阿⾥实战经验谈.pdf
08-20
Nginx+Lua阿⾥实战经验谈.pdf
OpenResty概述
诚的博客
10-25 472
OpenResty®是一个基于NginxLua高性能 Web 平台,其内部集成了大量精良的 Lua 库、第三方模块以及大多数的依赖项。用于方便地搭建能够处理超并发、扩展性极的动态 Web 应用、Web 服务和动态网关。 OpenResty®通过汇聚各种设计精良的Nginx模块(主要由 OpenResty 团队自主开发),从而将Nginx有效地变成一个强大的通用 Web 应用平台。这样,Web 开发人员和系统工程师可以使用 Lua 脚本语言调动Nginx支持的各种 C 以及 ...
nginx配置访问密码,输入用户名和密码才能访问
weixin_30381793的博客
07-31 247
使用nginx搭建的站点,如果不想让所有人都能正常访问,那么可以设置访问认证,只有用户输入正确的用户名和密码才能正常访问。 1. nginx 开启访问验证nginx 下,提供了 ngx_http_auth_basic_module 模块实现让用户只有输入正确的用户名密码才允许访问web内容。默认情况下,nginx 已经安装了该模块。所以整体的一个过程就是先用第三方工具( htpas...
编写Nginx插件实现手动插入Cookie功能
Mys的专栏
02-28 1133
为了实现手动插入Cookie功能,我们需要编写一个Nginx插件。在这个插件中,我们需要使用Lua语言来编写相关的代码。以下是实现手动插入Cookie功能的步骤
nginx lua
thlzjfefe的博客
09-22 308
1、这里我们假定,同时要访问多个数据源 而且,查询是没有依赖关系的,那我们就可以同时发出请求 这样我总的延时,是我所有请求中最慢的一个所用时间,而不是原先的所有请求用时的叠加! 这种方式,就是用并发换取了响应时间 location = /api { content_by_lua ' local res1, res2, res3 = ngx.loc...
nginx lua 小项目:根据 user_agent 显示不同的页面,附带和 php 性能的对比
weixin_34138139的博客
09-19 373
怎么快速学习一门新的语言呢?如果你已经熟练掌握了一门语言,那么其他语言都是想通的。一个小小的需求,可能会遇到很多问题,但是搜索相关的关键字,就能快速实现出来,完成一个小目标,事半功倍。死记硬背手册,太枯燥了,反正我是看不下去,不如直接来个小项目。 一个小需求 pc、mobile 一个地址有两套页面,需要在后端根据浏览器的 user_agent 来显示不同...
Nginx + lua 实现网关认证、限流
不要让任何事情成为你不去学习的理由。
12-20 4856
Nginx + lua 实现网关认证、限流
nginxlua实现文件上传
07-29
nginx是一个高性能的HTTP服务器和反向代理服务器,而Lua是一种轻量级的脚本语言。通过在nginx中加入Lua模块,可以实现更灵活的文件上传功能。...这种方式具有高性能、灵活性和安全性等优点,非常适合在生产环境中使用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值