利用nginx完成iframe请求的身份认证

已于 2025-05-31 12:58:14 修改
阅读量657 收藏 25
点赞数 16
分类专栏: AI Nginx 文章标签: nginx 运维 auth_request dify 身份认证
于 2025-05-31 12:47:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liangmengbk/article/details/148350172
版权

需求说明

在dify中搭建了一个chatflow,搭建完成后,将其以iframe的方式,嵌入到自己开发的一个网站中。

嵌入完成后,效果如下图所示:

此时存在一个安全问题,如果用户知道了这个iframe的URL地址,就可以直接跳过网站的登录,直接访问dify的应用(dify本身没有身份认证),这是不安全的,现在要解决这个问题。

解决思路

利用nginx的 auth_request 调用认证服务,认证通过的请求才能访问dify,否则不可访问。

认证操作可以通过访问系统首页的方式完成,首页是需要登录后才能正常访问的,如果没有登录,则会返回302,会重定向到登录页面(不需要另外再单独写认证的接口,而是利用登录成功后的系统首页URL完成认证)。

auth_request对应的路由返回2xx状态码时,不会拦截请求,而是构建一个subrequest请求再去请求真实受保护资源的接口,所以当系统未登录时,返回的302状态码,此时请求会被拦截。从而达到身份认证的目的。

实战操作

1.下载NGINX

从NGINX官网下载Windows版本:

https://nginx.org/en/download.html
 

我的是Windows系统,选择这个:

2启动NGINX

下载完成,解压,进入到这个目录下:

双击nginx.exe文件,启动nginx。

启动成功后,可以在任务管理器中看到:

验证是否启动成功:访问http://localhost,若看到欢迎页面即成功,nginx默认80端口,如果有其他应用占用了80端口,调整nginx的配置(在下面有说到如何更改配置)。

3.配置代理(修改nginx配置文件)

编辑conf/nginx.conf文件,将server中的内容修改为如下配置:

server {
        listen       8080;
        server_name  localhost;

        #charset koi8-r;

        #access_log  logs/host.access.log  main;


        # 带有 /ai_wm/apps/dify 路径的请求,代表是dify的请求,要进行特殊处理
		location /ai_wm/apps/dify {
		    # 该指令告诉Nginx,在处理用户请求前,先将请求发送到/auth进行认证。
			auth_request /auth;
			
			# 处理认证服务的响应结果
			error_page 401 = @error401;

			auth_request_set $user $upstream_http_x_forwarded_user;
			proxy_set_header X-Forwarded-User $user;
			
			# 鉴权通过后请求转发到该地址
			proxy_pass http://192.168.0.197/;
			
			proxy_set_header Host $host;
			proxy_set_header X-Real-IP $remote_addr;
			proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
			proxy_set_header X-Forwarded-Proto $scheme;
			proxy_set_header X-Forwarded-Prefix /ai_wm/apps/dify;
			proxy_set_header Cookie $http_cookie;  # 确保转发 Cookie
			
			# 将请求路径从 /ai_wm/apps/dify/xxx 重写为 /xxx。用于简化请求路径或将请求路由到不同的后端路径。
			rewrite ^/ai_wm/apps/dify/(.*)$ /$1 break;
		}

        # 认证服务的代理设置
		location /auth {
		    # 声明该location块仅限内部调用,不用于反向代理
			internal;
			
			proxy_set_header Host $host;
			
			# 不代理请求体到认证服务
			proxy_pass_request_body off;
			
			# 进行验证,返回状态码
			proxy_pass http://192.168.51.95:8080/ai_wm/Main.do;
		}

      
		# 认证失败处理
		location @error401 {
			add_header Set-Cookie "NSREDIRECT=$scheme://$http_host$request_uri;Path=/";
			return 302 http://192.168.51.95:8080/ai_wm/aidl.do;
		}
		
		location /api {
           proxy_pass http://192.168.0.197/api;
           proxy_set_header Host $host;
           proxy_set_header X-Real-IP $remote_addr;
        }
        location /console/api {
           proxy_pass http://192.168.0.197/console/api;
           proxy_set_header Host $host;
           proxy_set_header X-Real-IP $remote_addr;
        }
        location /_next {
           proxy_pass http://192.168.0.197/_next;
           proxy_set_header Host $host;
           proxy_set_header X-Real-IP $remote_addr;
        }


        # 这表示对根路径的请求进行处理。所有未匹配到其他 location 块的请求都会被此块处理。
		location / {
		    # 将请求代理到本地的 Tomcat服务器
			proxy_pass http://127.0.0.1:8082/;
			proxy_set_header Host $host;
			proxy_set_header X-Real-IP $remote_addr;
			proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
			proxy_set_header X-Forwarded-Proto $scheme;
			proxy_set_header Cookie $http_cookie;  # 确保转发 Cookie
		}


        error_page   500 502 503 504  /50x.html;
        location = /50x.html {
            root   html;
        }

    }

配置内容解读:

基本设置:
listen 8080;: 服务器监听 8080 端口。
server_name localhost;: 服务器名称为 localhost。


路径 /ai_wm/apps/dify 的处理:
认证请求: 使用 auth_request /auth; 指令在处理用户请求前进行认证。
错误处理: 如果认证失败,返回 401 错误码,并重定向到 @error401 处理。
请求转发: 认证通过后,使用 proxy_pass http://192.168.0.197/; 将请求转发到指定的后端服务器。
请求头设置: 使用多个 proxy_set_header 指令设置请求头信息。
路径重写: 使用 rewrite ^/ai_wm/apps/dify/(.*)$ /$1 break; 将请求路径从 /ai_wm/apps/dify/xxx 重写为 /xxx。


认证服务 /auth 的设置:
内部调用: 使用 internal; 指令声明该路径仅限内部调用。
请求体处理: 使用 proxy_pass_request_body off; 不转发请求体到认证服务。
认证请求转发: 使用 proxy_pass http://192.168.51.95:8080/ai_wm/Main.do; 将认证请求转发到指定的认证服务。


认证失败处理:
重定向: 使用 location @error401 处理认证失败的请求,设置 Set-Cookie 头,并重定向到指定的 URL。


其他路径的代理设置:
/api, /console/api, /_next: 分别被代理到不同的后端服务,设置了请求头信息。


根路径 / 的处理:
请求代理: 将根路径的请求代理到本地的 Tomcat 服务器 http://127.0.0.1:8082/。
请求头设置: 设置了多个请求头信息。


错误页面处理:
错误页面: 使用 error_page 500 502 503 504 /50x.html; 指定错误页面。
错误页面路径: 使用 location = /50x.html 指定错误页面的路径。

其他说明:

nginx部署的服务器ip为92.168.51.95,dify所在的服务器ip为192.168.0.197

Tomcat的端口为8082

4.调整iframe的请求地址

一开始,iframe的地址如下图所示:

结合上一步中nginx配置的路径,只有请求地址中带有/ai_wm/apps/dify路径的请求,才会进行身份认证,所以要调整iframe的URL,把URL改成一个相对地址,如下图所示:

通过以上调整,结合nginx配置,最终,认证通过后,请求的地址还是原来的dify访问地址,也就是说dify不需要做任何调整,只需要配置好nginx即可。

以上操作完成后,把iframe的URL中地址,进行访问,在系统没有登录的情况下,nginx会进行拦截。

此时,完成系统登录操作,再次访问,就可以正常访问到dify了。

解决了身份认证的问题,没有登录的用户无法访问到dify。

5.nginx操作命令

以管理员身份打开cmd命令窗口,进入到nginx目录中,执行相关命令

 修改了配置文件,重新加载nginx

 nginx.exe -s reload

停止nginx

nginx.exe -s quit

6.常见问题排查

若代理失败,检查以下内容:
NGINX日志(logs/error.log)是否有错误。
防火墙是否允许相关的端口。

安全运维-如何在Kubernetes中使用注释对ingress-nginx及后端应用进行安全加固配置实践...
WeiyiGeek 唯一极客IT知识分享
08-15 2407
关注「WeiyiGeek」公众号设为「特别关注」每天带你玩转网络安全运维、应用开发、物联网IOT学习!本章目录:0x08 Kubernetes中ingress-nginx安全配置1.配置指定的 Ingress Class2.安全配置之强制跳转HTTPS3.安全配置之跨域访问cors4.安全配置之防止DDOS请求限流5.安全配置之请求访问白名单6.安全配置之请求访问日志记录7.安全配置之Nginx指.........
Dify本地部署(五)智能体集成
xuhao824的博客
03-19 1388
针对embed.min.js上的老虎凳 辣椒水
使用Dify将AI机器人嵌入到你的前端页面中及chrome的扩展应用
热门推荐
weixin_44519337的博客
02-20 1万+
Dify使开发AI应用变得简单,毕竟Dify是封装了调用大模型的技术栈,肯定是有局限性,但是现有的功能也可以实现不少有用的场景啦!这个界面是使用dify配置的一个“聊天助手”的应用,助手使用的是deepseek-r1的大模型,并将这个机器人嵌入了html中。写一个html,嵌入iframe代码,这里加了点样式(ps:代码我是用cursor生成的!这时候你就有一个网页版本的聊天机器人了,新打开一个网页,一定是要有数据的网页,空白页不展示。跳转到安装Dify扩展程序的界面,安装!模块,里面有大佬们配置的模板!
蓝易云:Nginx双层域名时iframe嵌入/跳转页面的处理过程
高性价比服务器就选:蓝易云
09-04 910
总结起来,Nginx双层域名的配置中,处理iframe嵌入和页面跳转的过程包括Nginx的反向代理转发请求、后端服务器返回嵌入页面或跳转目标页面的内容,并由Nginx返回给客户端。浏览器根据返回的内容展示嵌入页面或进行页面跳转。需要注意的是,跨域问题可能需要进行额外的配置和处理,以确保正常的页面展示和交互。
Dify学习笔记-应用发布(四)
大数据知识梳理
01-24 1万+
Dify学习笔记-应用发布
【Python大语言模型系列】一文教你使用dify云版本开发一个智能客服机器人(完整教程)
数据杂坛
09-25 3466
一文教你使用dify云版本开发一个智能客服机器人(完整教程)
关于dify使用指南
monk96的博客
03-06 1万+
dify提供了一套完整的使用工具,包括LLM大语言模型,RAG,以及自定义工具,就类似一个超级大脑,可以整合各个功能,同时LLM充当了大脑的核心,用于调度各个资源。工具就是一项特定的功能点,可以加入到dify 中,也可以进行定制化工具。2、分段的话,推荐父子分段,搜索效果更好,文档需要进行规范化。4、嵌入完毕,可以测试下召回的效果,可能会出现搜出来不匹配。2、插入LLM节点,编写提示词,也可以让ai自动生成。2、通过编辑插件定制化,如3d生成、图像生成。图像生成、文本生成、3D生成。
iframe嵌套页面会跨域吗
03-08
这意味着如果目标服务器未正确配置这些参数,则即使是在同一个组织内部部署的应用程序也可能面临无法获取预期中的身份验证令牌等问题。 #### 动态代理模式 一种较为通用的方法是采用中间件作为桥梁来进行间接调用...
NGINX配置高级技巧:如何优化HTTPS反向代理性能
通过深入分析NGINX的基础知识、工作原理、SSL/TLS处理以及性能优化技巧,本文旨在为读者提供实施和优化NGINX配置的实用指导。文章不仅涵盖配置实战、性能调优方法、常见问题诊断,还探索了NGINX的进阶功能和安全性...
安全与效率:Nginx HTTPS降级为HTTP的风险防范
参考资源链接:[Nginx https配置错误:https请求重定向至http问题解决](https://wenku.csdn.net/doc/6412b6b5be7fbd1778d47b10?spm=1055.2635.3001.10343) # 1. Nginx HTTPS降级为HTTP概述 在当今的网络环境中,...
配置陷阱揭露:Nginx HTTPS转HTTP问题的识别与解决
参考资源链接:[Nginx https配置错误:https请求重定向至http问题解决](https://wenku.csdn.net/doc/6412b6b5be7fbd1778d47b10?spm=1055.2635.3001.10343) # 1. Nginx基础与HTTPS概述 在现代互联网架构中,Nginx和...
Dify-AI应用嵌入第三方项目
weixin_43163457的博客
05-20 623
Dify通过提供嵌入式Web组件(iframe/SDK)和标准化RESTful API,降低了第三方集成门槛,满足快速部署和深度定制需求。用户可以通过iframe或<script>标签将AI应用嵌入网站,支持自定义样式和动态初始化。这种双轨设计提升了AI能力的场景适应性和扩展效率,适用于轻量级和复杂系统集成。
前端解决跨域的九种方法
小九的小酒的博客
12-14 680
什么是跨域? 跨域是指一个域下的文档或脚本试图去请求另一个域下的资源,这里跨域是广义的。 广义的跨域: 1、资源跳转:A链接、重定向、表单提交 2、资源嵌入: 、3、脚本请求: js发起的ajax请求、dom和js对象的跨域操作等 其实我们通常所说的跨域是狭义的,是由浏览器同源策略限制的一类请求场景。 什么是同源策略? 同源策略/SOP(Same origin policy)是一种约定,由Netscape公司1995年引入浏览器,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,浏览器很容易受到XSS
NGINX反向代理解决IFRAME跨域问题
qq_39710056的博客
10-12 5449
今天下午收到一个需求,项目中需要引用其他的网站,试了iframe和object一些方法。 发现有些网站做了同源策略不能引用。研究了一下午发现nginx可以解决。 proxy_hide_header 允许跨域 proxy_pass 反向代理地址 项目中引用方式 ...
Dify 中的 @login_required 装饰器
NLP工程化
11-04 1146
本文主要介绍了 Dify 中的 @login_required 装饰器的具体实现过程,用于确保用户在调用视图函数之前已经登录和认证。源码位置:dify\api\libs\login.py。
最新Dify实战应用教程→搭建一套属于个人或公司内部知识库助手的配置指南
qkh1234567的博客
12-11 1万+
🎉读完这篇文章,别忘记点一个关注!这篇文章文章,不仅是节点的构建,也有思路的分享。智能体搭建最重要的就是思路。最希望,能给大家带来不一样的搭建思路和方法。点一点上方的🔵蓝色小字关注,你的支持是我最大的动力!🌟"专业研究Dify智能体今天分享的文章将带你一步步了解如何在Dify平台上创建一个企业级知识库。在Dify上你可以轻松地整合数据、精准的调用、而且有一定的安全性保障。开始配置属于你的企业级知识库,Dify由于扣子的最大优势是可以本地化部署,做一套适合自己公司或个人的人工智能应用平台。
nginx 不允许 iframe嵌套报表问题解决
dazhong2012的专栏
05-18 1355
Nginx 不允许 iframe 的情况通常是由于 Nginx 配置中的 X-Frame-Options 指令导致的。如果 Nginx 配置为 X-Frame-Options: DENY,则不允许任何页面通过 iframe 嵌入;如果配置为 X-Frame-Options: SAMEORIGIN,则只允许来自同一源的页面通过 iframe 嵌入。编辑 Nginx 配置文件(通常是 nginx.conf 或者网站专用的配置文件,如 /etc/nginx/sites-available/your_site)。
Your local changes would be overwritten by merge.Commit, stash or revert them to proceed.
最新发布
05-28
<think>好的,用户遇到了Git合并时本地更改会被覆盖的问题,需要解决方案。根据之前的引用资料,解决方法主要有commit、stash和revert三种。首先,我得确认用户的具体情况,比如他们的本地更改是否已经完成,是否需要保留,或者是否可以丢弃。用户可能不太清楚这三种方法的适用场景,需要详细解释每个选项的步骤和优缺点。比如,commit适用于需要保留更改的情况,stash适合临时保存以便后续恢复,而revert则是直接撤销更改,适用于不需要保留的情况。需要结构清晰,分点说明,每个方法都给出操作步骤和适用场景,帮助用户理解哪种情况最适合他们。还要注意使用中文,避免技术术语过于复杂,让用户容易理解。同时,生成相关问题,可能涉及如何恢复stash的内容,或者如何避免频繁冲突等,扩展用户的知识点。另外,要确保LaTeX格式正确,但在这个问题中可能用不上数学公式,所以主要关注代码块和引用标识。检查引用是否正确,比如引用[^1]和[^2]的来源是否相关,用户提供的引用内容是否准确对应解决方案。 最后,确保回答真实可靠,操作步骤准确无误,避免误导用户。可能还需要提醒用户根据具体情况选择方法,比如如果有未完成的实验性代码,stash可能是更好的选择,而如果是确定要保留的修改,则应该commit。</think>要解决Git合并时本地更改被覆盖的问题,可根据不同场景选择以下三种方法: ### 一、提交本地更改(commit) **适用场景**:当本地更改已测试通过且需要保留到版本历史中。 **操作步骤**: 1. 将改动添加到暂存区: ```bash git add . # 添加所有文件 # 或指定文件 git add file1.txt file2.py ``` 2. 提交更改并添加描述: ```bash git commit -m "完成用户登录模块优化" ``` 3. 执行合并操作: ```bash git merge origin/main ``` **优点**:保留完整的开发记录,便于后续追溯[^1]。 ### 二、暂存更改(stash) **适用场景**:需要临时保存未完成的修改(如调试代码),优先处理合并操作。 **操作步骤**: 1. 保存当前工作状态: ```bash git stash # 可选添加备注 git stash save "用户登录模块调试代码" ``` 2. 查看暂存记录列表: ```bash git stash list ``` 3. 合并远程分支: ```bash git merge origin/main ``` 4. 恢复暂存内容: ```bash git stash pop # 恢复并删除最近一次暂存 # 或指定特定暂存 git stash apply stash@{1} ``` **优点**:保持工作目录整洁,特别适合处理紧急合并任务[^2]。 ### 三、撤销本地更改(revert) **适用场景**:本地修改可丢弃(如实验性代码或错误修改)。 **操作步骤**: 1. 撤销所有未提交的修改: ```bash git checkout -- . # 全部文件 # 或指定文件 git checkout -- file1.txt ``` 2. 执行合并操作: ```bash git merge origin/main ``` **风险提示**:此操作不可逆,需确认文件无需保留。 --- ### 对比决策表 | 方法 | 保留记录 | 可恢复性 | 适用阶段 | |---------|----------|----------|------------------| | commit | ✅ | ✅ | 功能开发完成时 | | stash | ❌ | ✅ | 开发中途临时切换 | | revert | ❌ | ❌ | 放弃无效修改 | ### 扩展应用场景 - 当存在多个暂存时,可用`git stash list`查看记录,通过`git stash apply stash@{n}`精准恢复 - 合并后出现冲突时,可使用`git mergetool`可视化工具解决冲突 - 长期分支开发推荐使用`git rebase`保持提交历史线性
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值