将 OAuth2 Proxy 与 Caddy v2 集成
本文关键词:Caddy v2
, caddy
, OAuth2 Proxy
, oauth2-proxy
, OpenID Connect
, OIDC
, OAuth2
, Casdoor
Caddy v2 是一个快速、现代化的 Web 服务器,具有易于理解的配置文件,并且可以通过插件扩展其功能。
OAuth2 Proxy 是一个提供身份验证功能的反向代理服务器,支持使用 Google、GitHub 等进行鉴权。
Casdoor 是一个基于 OAuth 2.0、OIDC、SAML 和 CAS 的,UI-first 的身份和访问管理 (IAM) / 单点登录 (SSO) 平台。
在这篇文章中,我将使用 Caddy v2 的 forward_auth 指令,与 OAuth2 Proxy 一起工作。虽然它名称中带了个 Proxy,但是我今天不会使用它的严格意义上的代理功能,而是会将其当作一个访问鉴权网关,或者说,中间件。
在此文中我会用到 Docker Compose,你可以用更高级的玩意替代它。
由于我不是幼儿园保姆,所以我只会提供核心内容的参考,安装方式和过程不再赘述。
0x01 配置 Casdoor
在部署时,我暂时推荐 使用 Docker 运行 Casdoor,这会大大降低部署难度。
在这里,我将 Casdoor 的域名定义为 sso.example.com
。
一旦你登录了 Web 管理界面,你就可以按以下步骤操作了:
- 前往 组织 页面,添加一个组织。
- 只需填写必要的项目即可,另外记得修改密码类型。
- 前往 应用 页面,添加一个应用。
- 在 组织 一栏中选择 ① 创建的组织。
- 你可以适当调整接下来的选项,但是建议关闭注册功能。
- 另外,在 OAuth 授权类型 一栏中选择全部项,除了
Password
。 - ⚠️ 有些值在接下来会被用到。
- 前往 用户 页面,添加一位用户。
- 在 组织 一栏中选择 ① 创建的组织。
- 仅需填写必要的项目即可。
- 在完成创建后,对创建的用户进行编辑,以设置密码。
暂时将它放在一边,接下来该配置 OAuth2 Proxy 了。
0x02 配置 OAuth2 Proxy
我选择使用 Docker Compose 进行部署。
# docker-compose.yml
version: '3'
services:
oauth2-proxy:
image: quay.io/oauth2-proxy/oauth2-proxy:latest
restart: always
command:
[
'--provider',
'oidc',
'--provider-display-name',
'Example Auth', # 这个名称会显示在网页上
'--client-id',
'e62d**********cd3bc0', # 来自 Casdoor 的 Client ID 值
'--client-secret',
'b771******************************012911', # 来自 Casdoor 的 Client secret 值
'--oidc-issuer-url',
'https://sso.example.com/', # Casdoor 的根地址
'--cookie-secure=true',
'--cookie-secret=YT0q**********************************xhdGM=', # 按照 OAuth2 Proxy 的文档生成
'--http-address',
'http://0.0.0.0:4180', # 它默认不会绑定 0.0.0.0,这里覆盖默认配置
'--reverse-proxy=true',
'--upstream=static://202',
'--whitelist-domain',
'*.example.com' # 只有使用符合这个条件的域名进行请求才被允许
]
ports:
- 127.0.0.1:4180:4180 # 别把端口暴露到公网
随后启动容器并查看日志。
docker-compose up -d
docker-compose logs -f
如果没有报错或反复重启,就说明配置正确。
显而易见,这里 OAuth2 Proxy 的地址为 127.0.0.1:4180
。
0x03 配置 Caddy
在这里,我将网站的域名定义为 hello.example.com
,成功进入后应该显示 hello world
。
Caddyfile 为如下内容:
(auth_required) { # 片段化,方便复用
forward_auth :4180 { # 对于 localhost 仅需输入端口号即可
uri {path} # 其实就是 URL 重写
copy_headers Authorization X-Auth-Request-Access-Token # OAuth2 Proxy 需要这些头
}
}
hello.example.com {
encode zstd gzip
import auth_required # 使用上方的片段
respond "hello world" # 响应这个字符串,仅用于调试目的
}
0x04 再次配置 Casdoor
还没完。我们需要前往 Casdoor 添加允许的回调地址。
- 前往 应用 页面,编辑之前创建的应用。
- 在 重定向 URLs 中添加一个值:
https://hello.example.com/oauth2/callback
/oauth2/callback
是 OAuth2 Proxy 的默认回调 URL。前面的 hello.example.com
是发起鉴权请求的域名。
0x05 一切就绪
保存这些配置并启动这些应用,访问 hello.example.com
。不出意外的话 ,它已经可以如你我所期待的那样运作了!
要特别说明的是,OAuth2 Proxy 只是一个类似于中间件的存在,它仅工作在 Web 服务器和受保护的内容之间。它不需要独立的域名,它只是挂靠在实际的站点域名下。
如果你想保护某个 Web 服务避免未经授权的访问,或者实现类似于 Cloudflare Zero Trust 的 Access Gateway 那样的功能的话,这套方案似乎是个不错的选择。
Casdoor 并不是唯一的选择,Casdoor 的用途也远不止于此。对 Caddy 和 OAuth2 Proxy 来说也是同样的道理。
真诚地希望这篇文章能给帮助到你。
本作品采用 知识共享署名-相同方式共享 4.0 国际许可协议 进行许可。