在goauthentik/authentik中配置反向代理的完整指南

于 2025-06-02 09:06:19 发布
阅读量312 收藏 9
点赞数 3
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00341/article/details/148375936
版权

在goauthentik/authentik中配置反向代理的完整指南

authentik The authentication glue you need. authentik 项目地址: https://gitcode.com/gh_mirrors/au/authentik

前言

在现代身份认证系统中,goauthentik/authentik作为一个开源的IDP(身份提供者)解决方案,经常需要部署在反向代理之后。本文将详细介绍如何正确配置反向代理来支持authentik的各项功能,特别是WebSocket通信。

反向代理的基本要求

由于authentik使用WebSocket与Outposts进行通信,这对反向代理提出了特定要求:

  1. 不支持HTTP/1.0:HTTP/1.0规范不支持WebSocket或协议升级
  2. 必须传递的HTTP头
    • X-Forwarded-Proto:告知authentik是否通过HTTPS连接
    • X-Forwarded-For:用于获取客户端真实IP
    • Host:用于安全检查和WebSocket握手
    • Connection: UpgradeUpgrade: WebSocket:用于WebSocket端点

安全建议

  1. 使用现代TLS配置,建议禁用TLS 1.2以下版本
  2. 如果反向代理不是从私有IP访问authentik,需要在authentik服务器上配置信任的代理CIDR

Nginx配置详解

下面是一个完整的Nginx配置示例,包含详细注释:

# 定义authentik上游服务器
upstream authentik {
    server <authentik服务器主机名>:9443;
    # 保持10个持久连接以提高性能
    keepalive 10;
}

# 根据$http_upgrade变量决定Connection头值
map $http_upgrade $connection_upgrade_keepalive {
    default upgrade;  # 如果有升级请求,则设置为upgrade
    ''      '';       # 否则为空
}

# HTTP服务器配置
server {
    listen 80;
    listen [::]:80;
    server_name sso.domain.tld;
    # 强制重定向到HTTPS
    return 301 https://$host$request_uri;
}

# HTTPS服务器配置
server {
    listen 443 ssl http2;
    listen [::]:443 ssl http2;
    server_name sso.domain.tld;

    # TLS证书配置
    ssl_certificate /etc/letsencrypt/live/domain.tld/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/domain.tld/privkey.pem;
    
    # 启用HSTS
    add_header Strict-Transport-Security "max-age=63072000" always;

    # 代理配置
    location / {
        proxy_pass https://authentik;
        proxy_http_version 1.1;  # 必须使用HTTP/1.1
        
        # 关键头信息传递
        proxy_set_header X-Forwarded-Proto $scheme;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header Host $http_host;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection $connection_upgrade_keepalive;
    }
}

配置说明

  1. 上游服务器upstream块定义了authentik服务器的位置和端口
  2. HTTP到HTTPS重定向:强制所有HTTP流量使用HTTPS
  3. WebSocket支持:通过map指令和相应的头信息实现协议升级
  4. 性能优化:使用keepalive减少连接建立开销

常见问题解决

  1. WebSocket连接失败

    • 检查UpgradeConnection头是否正确传递
    • 确认Nginx版本支持WebSocket代理

  2. 客户端IP显示不正确

    • 检查X-Forwarded-For头是否设置
    • 确认authentik服务器配置了正确的信任代理CIDR

  3. HTTPS相关问题

    • 确保证书路径正确
    • 检查证书链是否完整

进阶配置

如果需要将authentik部署在子路径下(如/auth),需要:

  1. 在Nginx配置中调整location
  2. 在authentik配置中设置相应的web.path参数

总结

正确配置反向代理是部署authentik的关键步骤。本文提供的Nginx配置模板涵盖了HTTPS、WebSocket支持和性能优化等关键方面。根据实际环境调整后,可以确保authentik在反向代理后稳定运行并提供完整功能。

authentik The authentication glue you need. authentik 项目地址: https://gitcode.com/gh_mirrors/au/authentik

创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考

开源 OIDC(OpenID Connect)身份提供方(IdP)、iam选型
西京刀客
05-25 307
Keycloak功能全面但较重,ORY Hydra轻量但需要自行构建UI,Dex适合Kubernetes环境,Gluu适合企业级需求等。
Github 2024-08-19 开源项目周报Top15
老孙正经胡说
08-19 1187
根据Github Trendings的统计,本周(2024-08-19统计)共有15个项目上榜。
goauthentik/authentik 表达式函数详解与应用指南
gitblog_00044的博客
06-02 236
goauthentik/authentik 表达式函数详解与应用指南 authentik The authentication glue you need. 项目地址: https://gitcode.com/gh_mirrors...
authentik:开源身份验证工具的全面支持与实现
因此,用户应当参考官方安全指南,确保在部署和使用Authentik时,采取最佳实践以保持系统和数据的安全。 ### 关键标签解析 Authentik项目使用的一系列标签,描述了它的技术栈和特性: - **SAML** (Security ...
Github 2024-08-20 Python开源项目日报 Top10
老孙正经胡说
08-20 1313
根据Github Trendings的统计,今日(2024-08-20统计)共有10个项目上榜。
深入理解Cloud Post - 构建Node.js应用与安全实践
- **configlétrehozása config / in**:这段文字可能是指配置文件的创建和位置,尽管此处包含了一些非英文字符,可能意为配置文件应该在 "config" 目录下创建。 4. **开发和部署**: - 描述中提到使用 **...
(完整版)c语言期末测试题(附答案).pdf
06-13
(完整版)c语言期末测试题(附答案).pdf
房屋租赁系统.zip
06-13
论文、PPT、开发文档、数据文档、源码 个人经导师指导并认可通过的高分设计项目,评审分98分,项目中的源码都是经过本地编译过可运行的,都经过严格调试,确保可以运行!主要针对计算机相关专业的正在做大作业、毕业设计的学生和需要项目实战练习的学习者,资源项目的难度比较适中,内容都是经过助教老师审定过的能够满足学习、使用需求,如果有需要的话可以放心下载使用。
基于SpringBoot+React+Mysql+Mybatis+Restful风格接口,前后端分离实现健康管理系统+源码+项目文档(毕业设计&课程设计&项目开发)
06-13
基于SpringBoot+React+Mysql+Mybatis+Restful风格接口,前后端分离实现健康管理系统+源码+项目文档,适合毕业设计、课程设计、项目开发。项目源码已经过严格测试,可以放心参考并在此基础上延申使用,详情见md文档 启动步骤 后端启动(lesson) 将创建数据库,执行sql文件 运行后端 前端启动(code-front-end) 安装nodejs 修改镜像源 $ npm install -g cnpm --registry=https://registry.npm.taobao.org 安装依赖包 $ cnpm install 启动 $ npm start 基于SpringBoot+React+Mysql+Mybatis+Restful风格接口,前后端分离实现健康管理系统+源码+项目文档,适合毕业设计、课程设计、项目开发。项目源码已经过严格测试,可以放心参考并在此基础上延申使用,详情见md文档 启动步骤 后端启动(lesson) 将创建数据库,执行sql文件 运行后端 前端启动(code-front-end) 安装nodejs 修改镜像源 $ npm install -g cnpm --registry=https://registry.npm.taobao.org 安装依赖包 $ cnpm install 启动 $ npm start ~
TZ103V201开ADB切卡改串网页离线备份.zip
06-13
当前所发布的全部内容源于互联网搬运整理收集,仅限于小范围内传播学习和文献参考,仅供日常使用,不得用于任何商业用途,请在下载后24小时内删除,因下载本资源造成的损失,全部由使用者本人承担!如果有侵权之处请第一时间联系我们删除。敬请谅解!
国际计算机软件许可合同格式.docx
06-13
国际计算机软件许可合同格式.docx
2021级金融二班高慧嫦2021级网络工程四班江志羽.docx
06-13
2021级金融二班高慧嫦2021级网络工程四班江志羽.docx
公需科目2021人工智能与健康试题及答案(八).docx
06-13
公需科目2021人工智能与健康试题及答案(八).docx
{项目管理项目报告}城镇基础设施灾后恢复重建项目第批施工办法.pdf
06-13
{项目管理项目报告}城镇基础设施灾后恢复重建项目第批施工办法.pdf
C语言程序设计基础实验讲义.pdf
06-13
C语言程序设计基础实验讲义.pdf
师生共评的作业管理系统设计与实现.zip
06-13
论文、PPT、开发文档、数据文档、源码 个人经导师指导并认可通过的高分设计项目,评审分98分,项目中的源码都是经过本地编译过可运行的,都经过严格调试,确保可以运行!主要针对计算机相关专业的正在做大作业、毕业设计的学生和需要项目实战练习的学习者,资源项目的难度比较适中,内容都是经过助教老师审定过的能够满足学习、使用需求,如果有需要的话可以放心下载使用。
讯优UZ901管理助手.apk.1
06-13
当前所发布的全部内容源于互联网搬运整理收集,仅限于小范围内传播学习和文献参考,仅供日常使用,不得用于任何商业用途,请在下载后24小时内删除,因下载本资源造成的损失,全部由使用者本人承担!如果有侵权之处请第一时间联系我们删除。敬请谅解!
Delphi 12.3控件之wic-x86-enu.rar
最新发布
06-13
Delphi 12.3控件之wic_x86_enu.rar
016-Java精品源码-个人博客系统.zip
06-13
java源代码+数据库+配套文档+答辩教程
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

宗津易Philip

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值