Nginx请求参数解析,auth_request img图片鉴权应用

已于 2024-02-07 15:23:32 修改
阅读量1.9k 收藏 3
点赞数
文章标签: nginx 运维
于 2023-10-11 14:56:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nalanxiaoxiao2011/article/details/133769412
版权

前言

做的项目中多个模块涉及到附件、图片、PDF/Excel等文件的处理,包括预览、导出和下载等功能。对于体积较小的文件,可以直接由后端以流形式传输给前端处理;而较大的文件则需要通过nginx进行转发。但是如果nginx中不设置鉴权服务,可能会造成数据泄露的风险。为保障数据安全,有必要在nginx中加上鉴权功能,对文件传输和访问进行控制。

先来说思路,为nginx增加ngx_http_auth_request_module模块,实现基于子请求的结果的客户端的授权。如果子请求返回2xx响应码,则允许访问。如果它返回401或403,则访问被拒绝并显示相应的错误代码。子请求返回的任何其他响应代码都被认为是错误的。即在原来的基础上加了一层后端鉴权服务。
————————————————

在这里插入图片描述
例: $arg_token 取的就是 uri?args 中 token=xxx 的部分

$arg_PARAMETER #这个变量包含GET请求中,如果有变量PARAMETER时的值。

$args #这个变量等于请求行中(GET请求)的参数,例如foo=123&bar=blahblah;

$binary_remote_addr #二进制的客户地址。

$body_bytes_sent #响应时送出的body字节数数量。即使连接中断,这个数据也是精确的。

$content_length #请求头中的Content-length字段。

$content_type #请求头中的Content-Type字段。

$cookie_COOKIE #cookie COOKIE变量的值

$document_root #当前请求在root指令中指定的值。

$document_uri #与$uri相同。

$host #请求主机头字段,否则为服务器名称。

$hostname #Set to the machine’s hostname as returned by gethostname

$http_HEADER

$is_args #如果有$args参数,这个变量等于”?”,否则等于”",空值。

$http_user_agent #客户端agent信息

$http_cookie #客户端cookie信息

$limit_rate #这个变量可以限制连接速率。

$query_string #与$args相同。

$request_body_file #客户端请求主体信息的临时文件名。

$request_method #客户端请求的动作,通常为GET或POST。

$remote_addr #客户端的IP地址。

$remote_port #客户端的端口。

$remote_user #已经经过Auth Basic Module验证的用户名。

$request_completion #如果请求结束,设置为OK. 当请求未结束或如果该请求不是请求链串的最后一个时,为空(Empty)。

$request_method #GET或POST

$request_filename #当前请求的文件路径,由root或alias指令与URI请求生成。

$request_uri #包含请求参数的原始URI,不包含主机名,如:”/foo/bar.php?arg=baz”。不能修改。

$scheme #HTTP方法(如http,https)。

$server_protocol #请求使用的协议,通常是HTTP/1.0或HTTP/1.1。

$server_addr #服务器地址,在完成一次系统调用后可以确定这个值。

$server_name #服务器名称:域名或IP 那部分。     // 例: set $auth_request_uri "http://$server_name:8090/system/user/auth?$args";

$server_port #请求到达服务器的端口号。

$uri #不带请求参数的当前URI,$uri不包含主机名,如”/foo/bar.html”。该值有可能和$request_uri 不一致。$request_uri是浏览器发过来的值。该值是rewrite后的值。例如做了internal redirects后。

使用auth_request做权限控制

背景:生产环境对于图片使用 标签来显示图片,或使用 element-ui 的 标签进行图片预览;

但是直接访问 url: http://192.168.0.225:8002/file/20231011/%E7%B3%BB%E7%BB%9F%E7%AE%A1%E7%90%86%E5%B7%A5%E4%BD%9C%E7%AB%99_531011143641805.pdf
浏览器会下载文件
或 直接 <img src = http://192.168.0.225:8002/file/20231011/wu2_531011104758539.png"。

所有人在外网都可以访问,不安全。不会经过java 后端接口的 @SaCheckLogin 鉴权。
所以,要么不直接访问 ,而是通过后端接口返回。 要么在nginx 层加一个权限校验, lua 鉴权或 通过 nginx 自带的模块 --with-http_auth_request_module

为了省事,采用了 nginx的 模块方式:
所以,前端开发人员就需要在图片加载过程中携带验证的信息。如 token,用于身份验证、权限控制等方面。通过在图片的 URL 后面(get请求方式),或请求头中携带 token 信息,从而实现图片信息的安全传输。
同时 后端增加一个单纯的鉴权接口:
/system/user/auth

    @SaCheckLogin
    @GetMapping("/auth")
    public String info() throws Exception {
        try {
            return LoginHelper.getUsername();
        }catch (Exception e){
            throw new Exception("用户未登录!"+e.getMessage());
        }
    }

浏览器访问图片链接,然后根据request中的token信息判断此用户是否登录态 若是则返回 response.setStatus(200)
若不是登录态,则400.

技术:采用Nginx自带的auth_request模块(网上也有一些其他的方法比如安装redis模块,在nginx里直接查询redis,这里我们不做介绍)。

开启auth_request

需要重新编译nginx源码,把auth_request加入到nginx中,(1.5.4以上,默认包含auth_request,需要编译的时候开启)

配置校验参数

log_format  pro '$remote_addr - $remote_user [$time_local] "$request" '
                      '$status $body_bytes_sent "$http_referer" '
                              '"$http_referer" "$http_user_agent" $request_time req_body:"$request_body"'
                      '"$http_user_agent" "$http_x_forwarded_for"';
server {
    listen 8002;

    server_name 192.168.0.225 localhost api.ltkj.com;

    # root /data/wwwroot/static.ltkj.com/project;
    # 重定向到error401 时用
    proxy_intercept_errors on;

    #禁止访问的文件或目录
    location ~ ^/(\.user.ini|\.htaccess|\.git|\.svn|\.project|LICENSE|README.md)
    {
        return 404;
    }
  // 处理文件
    location ^~ /file/ {
        # expires      30d;
        set $auth_request_uri "http://$server_name:8090/system/user/auth?$args";

        auth_request /auth;
        auth_request_set $user $upstream_http_x_forwarded_user;
        proxy_set_header X-Forwarded-User $user;

        error_page 401 500 = /error401;
        root /data/wwwroot/static.ltkj.com/project;
    }
// 处理图片
    location ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$ {
                                # img 标签 header中设置 token方式 未成功,待测试
                                add_header Access-Control-Allow-Origin *;
                                add_header Access-Control-Allow-Methods 'GET, POST, OPTIONS';
                                add_header Access-Control-Allow-Headers 'DNT,X-Mx-ReqToken,Keep-Alive,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type,Authorization';

         auth_request /auth;
         error_page 401 500 = /error401;
         auth_request_set $user $upstream_http_x_forwarded_user;
         proxy_set_header X-Forwarded-User $user;
         set $auth_request_uri "http://$server_name:8090/system/user/auth?$args";

         root /data/wwwroot/static.ltkj.com/project;
    }

    location /auth {
        # 表示该路径仅仅为nginx内部访问,一旦出了这个配置文件,则失效
        internal;
        # 自己系统的认证路径
        # proxy_pass http://localhost:8090/system/user/auth;
        proxy_pass $auth_request_uri ;

        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Original-URI $request_uri;
        proxy_set_header X-Original-METHOD $request_method;

        error_page 401 500  = /error401;
    }
        # 认证失败后的处理
    location = /error401 {
        # 强制浏览器不使用缓存,防止缓存带来的还能访问系统
        # 如果认证失败,跳转到自己系统的登录页面
        return 302 http://192.168.0.225:8001/index;
    }


    access_log  /data/logs/nginx/project_manager/access.log pro;
    error_log  /data/logs/nginx/project_manager/error.log ;
}

灵魂代码!灵魂代码!灵魂代码!

set $auth_request_uri "http://192.168.0.225:8090/system/user/auth?$args";

我的项目需求是对图片做权限校验,图片展示是直接在img标签里面展示的,因此,没法做请求头的设置,需要在链接后面携带校验信息。如:http://127.0.0.1/api/image/123.jpg?token=xxx

这时候校验信息,而网上大部分是没有这段代码的set $auth_request_uri "http://192.168.40.14:8080/image/auth?$query_string"; 导致参数无法传递到r后端校验地址(如果是设置请求头里的,可以获取到)。

校验成功就将127.0.0.1/api/image/123.jpg?token=xxx转发到 minio地址:9000/123.jpg。

校验失败后台设置响应状态401或403,将转发到authError.png这张图片上。

测试url

  • http://192.168.0.225:8002/pic/20230825/530825093805902100.jpg 跳转到登录页 or 首页
  • http://192.168.0.225:8002/pic/20230825/530825093805902100.jpg?Authorization=Bearer eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJsb2dpblR5cGUiOiJsb2dpbiIsImxvZ2luSWQiOiJzeXNfdXNlcjoxIiwicm5TdHIiOiJ0dEtOdkE5VTNwQkllWmgxV1h5OUZETWVoUzZINk5MbCIsInVzZXJJZCI6MX0.6_FQyAqTrRsWR4HdhD2qmFeqAOrHJ6cVguCzaW2JlC0 成功预览
  • http://192.168.0.225:8002/file/20231011/系统管理工作站_531011143641805.pdf
  • http://192.168.0.225:8002/file/20231011/系统管理工作站_531011143641805.pdf?Authorization=Bearer eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJsb2dpblR5cGUiOiJsb2dpbiIsImxvZ2luSWQiOiJzeXNfdXNlcjoxIiwicm5TdHIiOiJ0dEtOdkE5VTNwQkllWmgxV1h5OUZETWVoUzZINk5MbCIsInVzZXJJZCI6MX0.6_FQyAqTrRsWR4HdhD2qmFeqAOrHJ6cVguCzaW2JlC0

————————————————

上面是把token加在url 后面 ?token=“xxx” ,这种方式 get方式。

下面 尝试入到 header中

探索前端图片如何携带token进行验证
vue中给img的src添加token

令狐少侠2011
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
04_Nginx_从url中获取参数
田一一
03-11 5853
04_Nginx_从url中获取参数1. 导读2. 代码示例3. 实验截图 1. 导读 需要从url中获取到想要的参数,特此记录方式 2. 代码示例 使用的是ngx_http_request_t结构体中的args参数; printf("=====================\n"); char szArgs[1000] = {0}; memcpy(szArgs, r->args.data, r->args.len); printf("获取到的参数
Nginx服务器中使用lua获取get或post参数.docx
09-26
Nginx服务器中使用lua获取get或post参数.docx
Nginx】截取URL中某个参数Parameter
sayyy的专栏
06-25 1万+
Nginx鉴权、限流
我的博客
03-20 443
Nginx限流是一种用于保护系统资源、防止恶意攻击和控制流量的技术。控制速率:使用模块,可以限制每个IP地址单位时间内的请求数。控制连接数:使用模块,可以限制每个IP地址同时保持的连接数。
nginx 配置获取GET请求参数、POST请求参数nginx配置开启跨域访问、nginx+keepalived配置主备切换/双机热备、nginx优化配置
あずにゃん梓喵的博客
08-09 2万+
nginx+keepalived:局域网内网和公网外网 搭建nginx HA 双机热备 高可用 nginx 把 POST请求数据 写入到 日志文件中 nginx 自动解压gzip压缩数据的两种方式:nginx自动解压、后台java程序解压 nginx安装、nginx反向代理/负载均衡、Lua、LuaJIT、openresty、lua-nginx-module、ngx_devel_kit 的安...
rds-json-nginx-module-master.zip_nginx_nginx 解析json_rds_rds_json
09-21
nginx第三方插件,用于处理json字符串,提升nginx处理json字符串性能
nginx获取get、post请求参数
赶路人儿
06-09 2万+
使用nginx原生指令、和lua的方法,获取http协议的get、post方法的参数
nginx根据request_uri进行转发
duanghuang的博客
10-10 1115
yql内网转发END。
nginx配置文件中$request_uri简单介绍
徊忆羽菲
05-11 3万+
我经过反复测试,结合在log里添加requesturi变量,得出结论,这个request_uri变量,得出结论,这个requestu​ri变量,得出结论,这个request_uri就是完整url中刨去最前面host剩下的部分,比如http://www.baidu.com/pan/beta/test1?fid=3这个url,去掉www.baidu.com剩下的就是了,日志里会看到打印出来的host剩...
nginx常见内置变量$uri和$request_uri
热门推荐
gushaolin的博客
12-31 3万+
这里介绍nginx常见内置变量uri和uri和uri和request_uri代表的值,首先先看nginx配置: [root@CentOS7-2 conf.d]# cat default.conf server { listen 80; server_name localhost; #charset koi8-r; #access_log /var/...
Nginx笔记——代理服务配置
想混口饭&的博客
04-28 5490
Nginx的代理配置,正向代理、反向代理、负载均衡
nginx-auth:一个简单的身份验证应用程序,供nginx auth_request机制使用
05-09
Nginx验证 nginx-auth是一个简单的基于表单的身份验证服务器,旨在与nginxauth_request插件一起使用。 它允许您使用基于表单的身份验证代替基本身份验证来验证用户。 部署范例 location /private/ { auth_request /auth-check; # redirect 401 and 403 to login form error_page 401 403 =200 /nginx-auth/; } location /nginx-auth/ { proxy_pass http://localhost:3000/; proxy_redirect http://localhost:3000/ /; # Login service returns a redirect to the original
Nginx 过滤静态资源文件的访问日志的实现
01-20
凌乱的日志 日常使用的 Nginx 大都既做静态资源服务器,也做反向代理服务器,尤其有些时候考虑到跨域问题,会对静态资源和后端接口使用同一个监听端口,如果不做一下过滤处理,会在 access_log 中看到大量的例如 js、css、jpg 等静态资源的请求,比较影响查看后端接口调用的日志 本来没有很在意这个东西,不过在浏览一篇关于 Nginx 优化的文章时,发现了一种用 map 定义一个是否写日志的参数的方法,结合最近使用 map 做动态的跨域配置,索性也是学习及记录一下 map 的另一个使用场景 使用 map 过滤访问静态资源文件的日志 http { log_format main
nginx-ldap-auth:使用ngx_http_auth_request_module的LDAP身份验证示例
04-29
nginx-ldap-auth 代表NGINXNGINX Plus代理的服务器对用户进行身份验证的方法的参考实现 描述 注意:为了便于阅读,本文档引用了 ,但它也适用于 。 和均包含必备的模块。 Nginx-ldap-auth软件是一种方法的参考实现,该方法用于对从NGINX Plus代理的服务器请求受保护资源的用户进行身份验证。 它包括一个与身份验证服务器进行通信的守护程序( ldap-auth ),以及一个示例守护程序,该示例守护程序在测试期间通过基于用户凭据生成身份验证cookie来代表实际的后端服务器。 这些守护程序是用Python编写的,可与轻型目录访问协议(LDAP)身份验证服务器(OpenLDAP或Microsoft Windows Active Directory 2003和2012)一起使用。 在NGINX Plus和LDAP服务器之间进行中介的ldap-auth
vouch-proxy:使用auth_request模块的Nginx的SSO和OAuth OIDC登录解决方案
03-31
凭证代理 使用模块的Nginx的SSO解决方案。 Vouch Proxy可以一次保护您所有的网站。 Vouch Proxy支持许多OAuth和OIDC登录提供程序,并可以强制执行身份验证以... 谷歌 GitHub企业版 钥匙斗篷 其他大多数OpenID Connect(OIDC)提供商 当您将您的IdP或库部署到Vouch Proxy后,请务必告知我们,以便我们更新列表。 如果Vouch与Nginx反向代理在同一主机上运行,​​则从/validate端点到Nginx的响应时间应小于1ms 目录 (在GitHub上提交问题之前,请先阅读此内容) 凭证代理做什么... 证件代理(VP)强制访问者在允许他们访问网站之前登录并使用 (例如上面列出的服务之一)进行身份验证。 VP也可以用作单一登录(SSO)解决方案,以保护同一域中的所有Web应用程序。 访客登录后,Vouch Pr
nginx-simple-login:一个轻量级的身份验证服务后端,旨在与nginxauth_request一起使用
04-04
nginx简单登录 一个轻量级的身份验证服务后端,旨在与nginxauth_request一起使用。 特征 auth_request处理程序, 验证页面, 本地用户数据库。 用法 基本的 克隆此仓库。 通过pip install .安装此软件包pip install . (建议安装在virtualenv )。 按照config.example.yaml创建config.yaml 。 最低版本: user_table : users.yaml site_name : Restrict Area logfile : /var/log/nslogin.py login_life_time : 2592000 # 30 days 使用nslogin-user命令添加用户,例如 nslogin-user --config config.yaml --add --name terry
Nginx模块ngx_realtime_request
04-12
ngx_realtime_requestnginx用来统计虚拟主机流量的模块, 首先和大家说下这个模块是基于域名的,将会记录这个域名的请求量、发送字节、返回http状态码的数量,特性如下: 1、基于域名记录 2、记录请求数据量 3、...
【kettle001】访问国产达梦数据库并处理数据至execl文件
最新发布
kngines
04-22 424
一直以来想写下基于kettle的系列文章,作为较火的数据ETL工具,也是日常项目开发中常用的一款工具,最近刚好挤时间梳理、总结下这块儿的知识体系。熟悉、梳理、总结下达梦(DM)关系型数据库相关知识体系。
Git & TortoiseGit 详细安装使用教程
m0_37383484的博客
04-20 1092
Git 工具详细安装教程,TortoiseGit 工具详细安装使用教程。
nginx添加http_auth_request_module模块
07-12
要在Nginx中添加http_auth_request_module模块,你可以按照以下步骤操作: 1. 确认你的Nginx版本是否支持http_auth_request_module模块。你可以使用以下命令来检查: ``` nginx -V ``` 在输出结果中查找是否包含 "--with-http_auth_request_module" 字样,如果有,说明该模块已经被支持。 2. 如果你的Nginx版本不支持该模块,你需要重新编译Nginx并启用该模块。首先,下载Nginx的源代码: ``` wget http://nginx.org/download/nginx-x.x.x.tar.gz ``` (将 "x.x.x" 替换为你想要下载的版本号) 3. 解压源代码包: ``` tar -zxvf nginx-x.x.x.tar.gz ``` 4. 进入解压后的目录: ``` cd nginx-x.x.x ``` 5. 执行以下命令进行配置,确保启用了http_auth_request_module模块: ``` ./configure --with-http_auth_request_module ``` 6. 执行以下命令编译并安装Nginx: ``` make sudo make install ``` 7. 配置Nginx的配置文件(通常是位于 /etc/nginx/nginx.conf)。在合适的位置添加以下配置项: ``` location / { auth_request /auth; ... } location = /auth { internal; proxy_pass http://auth_backend; ... } ``` 这里的 "/auth" 是用来处理认证请求的URL,你可以根据需要进行修改。"http://auth_backend" 是实际处理认证请求的后端服务地址,也需要根据实际情况进行修改。 8. 保存并关闭配置文件后,重启Nginx服务: ``` sudo service nginx restart ``` 现在,你已经成功地添加了http_auth_request_module模块到Nginx中。你可以根据实际需求进一步配置和使用该模块来进行认证授权操作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值