将 OAuth2 Proxy 与 Caddy v2 集成,在访问网站之前进行鉴权

最新推荐文章于 2023-10-06 12:30:34 发布
最新推荐文章于 2023-10-06 12:30:34 发布
阅读量927 收藏 1
点赞数 2
文章标签: 安全 web 运维 docker 经验分享
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34718871/article/details/130645181
版权

将 OAuth2 Proxy 与 Caddy v2 集成

本文关键词:Caddy v2, caddy, OAuth2 Proxy, oauth2-proxy, OpenID Connect, OIDC, OAuth2, Casdoor

Caddy v2 是一个快速、现代化的 Web 服务器,具有易于理解的配置文件,并且可以通过插件扩展其功能。

OAuth2 Proxy 是一个提供身份验证功能的反向代理服务器,支持使用 Google、GitHub 等进行鉴权。

Casdoor 是一个基于 OAuth 2.0、OIDC、SAML 和 CAS 的,UI-first 的身份和访问管理 (IAM) / 单点登录 (SSO) 平台。

在这篇文章中,我将使用 Caddy v2 的 forward_auth 指令,与 OAuth2 Proxy 一起工作。虽然它名称中带了个 Proxy,但是我今天不会使用它的严格意义上的代理功能,而是会将其当作一个访问鉴权网关,或者说,中间件。

在此文中我会用到 Docker Compose,你可以用更高级的玩意替代它。

由于我不是幼儿园保姆,所以我只会提供核心内容的参考,安装方式和过程不再赘述。

0x01 配置 Casdoor

在部署时,我暂时推荐 使用 Docker 运行 Casdoor,这会大大降低部署难度。

在这里,我将 Casdoor 的域名定义为 sso.example.com

一旦你登录了 Web 管理界面,你就可以按以下步骤操作了:

  1. 前往 组织 页面,添加一个组织。
    • 只需填写必要的项目即可,另外记得修改密码类型。
  2. 前往 应用 页面,添加一个应用。
    • 组织 一栏中选择 ① 创建的组织。
    • 你可以适当调整接下来的选项,但是建议关闭注册功能。
    • 另外,在 OAuth 授权类型 一栏中选择全部项,除了 Password
    • ⚠️ 有些值在接下来会被用到。
  3. 前往 用户 页面,添加一位用户。
    • 组织 一栏中选择 ① 创建的组织。
    • 仅需填写必要的项目即可。
    • 在完成创建后,对创建的用户进行编辑,以设置密码。

暂时将它放在一边,接下来该配置 OAuth2 Proxy 了。

0x02 配置 OAuth2 Proxy

我选择使用 Docker Compose 进行部署。

# docker-compose.yml
version: '3'
services:
    oauth2-proxy:
        image: quay.io/oauth2-proxy/oauth2-proxy:latest
        restart: always
        command:
            [
                '--provider',
                'oidc',
                '--provider-display-name',
                'Example Auth',  # 这个名称会显示在网页上
                '--client-id',
                'e62d**********cd3bc0',  # 来自 Casdoor 的 Client ID 值
                '--client-secret',
                'b771******************************012911',  # 来自 Casdoor 的 Client secret 值
                '--oidc-issuer-url',
                'https://sso.example.com/',  # Casdoor 的根地址
                '--cookie-secure=true',
                '--cookie-secret=YT0q**********************************xhdGM=',  # 按照 OAuth2 Proxy 的文档生成
                '--http-address',
                'http://0.0.0.0:4180',  # 它默认不会绑定 0.0.0.0,这里覆盖默认配置
                '--reverse-proxy=true',
                '--upstream=static://202',
                '--whitelist-domain',
                '*.example.com'  # 只有使用符合这个条件的域名进行请求才被允许
            ]
        ports:
          - 127.0.0.1:4180:4180  # 别把端口暴露到公网

随后启动容器并查看日志。

docker-compose up -d
docker-compose logs -f

如果没有报错或反复重启,就说明配置正确。

显而易见,这里 OAuth2 Proxy 的地址为 127.0.0.1:4180

0x03 配置 Caddy

在这里,我将网站的域名定义为 hello.example.com,成功进入后应该显示 hello world

Caddyfile 为如下内容:

(auth_required) {  # 片段化,方便复用
        forward_auth :4180 {  # 对于 localhost 仅需输入端口号即可
                uri {path}  # 其实就是 URL 重写
                copy_headers Authorization X-Auth-Request-Access-Token  # OAuth2 Proxy 需要这些头
        }
}

hello.example.com {
        encode zstd gzip
        import auth_required  # 使用上方的片段
        
        respond "hello world"  # 响应这个字符串,仅用于调试目的
}

0x04 再次配置 Casdoor

还没完。我们需要前往 Casdoor 添加允许的回调地址。

  1. 前往 应用 页面,编辑之前创建的应用。
  2. 重定向 URLs 中添加一个值:
    https://hello.example.com/oauth2/callback

/oauth2/callback 是 OAuth2 Proxy 的默认回调 URL。前面的 hello.example.com 是发起鉴权请求的域名。

0x05 一切就绪

保存这些配置并启动这些应用,访问 hello.example.com。不出意外的话 ,它已经可以如你我所期待的那样运作了!

要特别说明的是,OAuth2 Proxy 只是一个类似于中间件的存在,它仅工作在 Web 服务器和受保护的内容之间。它不需要独立的域名,它只是挂靠在实际的站点域名下。

如果你想保护某个 Web 服务避免未经授权的访问,或者实现类似于 Cloudflare Zero Trust 的 Access Gateway 那样的功能的话,这套方案似乎是个不错的选择。

Casdoor 并不是唯一的选择,Casdoor 的用途也远不止于此。对 Caddy 和 OAuth2 Proxy 来说也是同样的道理。

真诚地希望这篇文章能给帮助到你。

本作品采用 知识共享署名-相同方式共享 4.0 国际许可协议 进行许可。

SerinaNya
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Caddy2 使用-caddy2反向代理
weixin_52373407的博客
10-19 9161
1. 介绍 Caddy 是一个 Go 编写的 Web 服务器。类似于 Nginx,Caddy 提供了更加强大的功能,目前 Caddy2 已经可以作为中小型站点 Web 服务器的另一个选择。这里记录以下给网站配置域名 shellfish.top 流程。 2. 安装 参考官方文档 3. 快速使用 进入home 创建.caddy文件夹Caddyfile mkdir ~/.caddy && cd ~/.caddy && touch Caddyfile 复制 Caddy
aks-oauth2-proxy-example:示例AKS和oauth2-proxy配置
04-05
AKS和OAuth2代理 使用--set controller.service.externalTrafficPolicy=Local参数安装nginx入口控制器,它将确保AKS使用真实IP来访问入口。 创建入口控制器后,在DNS区域中添加A记录,将“ *”指向此IP地址,否则,您需要为每个具有不同子域的应用创建DNS记录。 使用命令kubectl create secret generic oauth2-secrets --from-literal=clientSecret=<CLIENT>创建密钥以存储AAD App客户端密钥kubectl create secret generic oauth2-secrets --from-literal=clientSecret=<CLIENT> 安装oauth2-proxy.yaml。 Doc说要允许将带有有
wechat-oauth2-proxy
05-10
wechat-oauth2-proxy 为什么要有这个项目? 在微信中进行网页授权时,会调用如下地址: https://open.weixin.qq.com/connect/oauth2/authorize?appid=APP_ID&redirect_uri=REQEUST_URI&response_type=code&scope=SCOPE_TYPE&state=STATE#wechat_redirect 在微信公众号后台中,只能填写唯一的网页授权回调域名(也就是上述 REQUEST_URI 中的域名部分)。这种限制对于多个公众号的开发带来很多麻烦: 需要申请多个公众号 需要维护多个网页授权回调域名 wechat-oauth2-proxy 的出现是为了破除这种限制。 部署指南 需求 Node >= 7.6.0 环境变量 该应用使用环境变量控制应用运行状态。 环境变量 默认值 说明 PRO
bitnami-docker-oauth2-proxy:用于OAuth2代理的Bitnami Docker映像
04-04
什么是OAuth2代理? 反向代理和静态文件服务器,使用提供程序(Google,GitHub和其他提供商)提供身份验证,以通过电子邮件,域或组验证帐户。 TL; DR $ docker run --name oauth2-proxy bitnami/oauth2-proxy:latest 为什么要使用Bitnami Images? Bitnami密切跟踪上游源代码变化,并使用我们的自动化系统及时发布该图像的新版本。 对于Bitnami映像,将尽快提供最新的错误修复和功能。 Bitnami容器,虚拟机和云映像使用相同的组件和配置方法-可以轻松地根据项目需求在格式之间进行切换。 我们所有的映像都基于是一个基于Debian的极简容器映像,它为您提供了一个小的基本容器映像,并且熟悉领先Linux发行版。 Docker Hub中可用的所有Bitnami映像均已使用签名。 您可以使用DO
oauthproxy:oauthproxy 服务器
06-30
oauthproxy OAuth 代理服务器
docker-oauth2-proxy:临时分叉以实现https
04-27
docker-oauth2-proxy 临时分叉以实现
oauth-proxy docker 镜像
03-30
原生镜像。 registry.access.redhat.com/openshift3/oauth-proxy版本号是v3.7.23-3
oauth2 github_如何使用oauth2_proxy保护GitHub登录后的私有Kubernetes服务
08-13 1609
oauth2 github 介绍 (Introduction) Kubernetes ingresses make it easy to expose web services to the internet. When it comes to private services, however, you will likely want to limit who can access them....
WIN11环境caddy2搭建个人WEBDAV排坑记
最新发布
InDepth的专栏
10-06 1595
偶尔看到有人用”caddy.exe run"直接执行的,不知为啥鬼使人差地试了一下,并把把配置文件最小化,居然可以运行了,但它到底用的是哪个配置文件,这时心里没底,因为当前目录有最小化的caddyfile和以前有错误的caddy.json。把json文件删除,居然也可以运行,知道这样缺省配置文件是caddyfile。这个以前已经有成熟的经验了,windows端可以用raidrive,安卓端,可以用X-plore,正好在查的过程中,试验了万由云的U-file,也很好用,一切似乎都OK了。
Caddy2学习笔记——Caddy2反向代理Frp内网穿透和反向代理PVE
aplsc的专栏
03-08 1871
Caddy 反向代理 Frp 内网穿透 和反向代理 PVE
又一个比 Nginx 功能更强大的 Web 服务器 Caddy 2.0 中文入门教程
热门推荐
easylife206的专栏
01-11 1万+
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !Caddy 是一个 Go 编写的 Web 服务器,类似于 Nginx,Caddy 提供了更加强大的功能,...
oauth-proxy:OAuth 安全 API 和客户端应用程序之间的代理
06-22
oauth 代理 这是一个用 PHP 编写的独立 Web 服务器,充当您的 OAuth 安全 API 和您的客户端应用程序之间的代理。 正如的所讨论的,它基本上是 OAuth + 客户端 Web 应用程序方法的实现。 目前只支持密码授权。 部署 克隆存储库并将您的网络服务器指向public/ 。 运行composer install --no-dev 创建和编辑配置文件( .env基于.env.example )。 理论 对于深入的解释,您应该真正查看的。 以下是所提出的所有请求所描述的底线。 向代理请求: POST /auth HTTP/1.1 Host: proxy.example.com username=foo &password=bar 对实际 API 服务器的请求: POST /auth HTTP/1.1 Host: api.example.com grant
linux环境 免安装 caddy2 脚本文件
07-06
linux环境 免安装 caddy2 脚本文件 ARM:飞腾、鲲鹏 MIPS:龙芯 X86:兆芯、海光、Intel、AMD 查看 arch / uname -a
OAuth2与shiro集成共18页.pdf.zip
10-30
OAuth2与shiro集成共18页.pdf.zip
spa_oauth_proxy:单页应用程序 OAuth v2 代理
07-06
单页应用程序 OAuth 代理 这个小代理允许您在单页应用程序中使用 OAuth v2(又名密码授予)。 它充当授权服务器的客户端。 应用程序只看到一个加密的令牌,需要将它作为标头发送回代理。 代理支持以下端点: /auth...
Casdoor:支持 OAuth 2.0、OIDC 和 SAML 的 UI 优先集中式身份验证/单点登录 (SSO) 平台,与 Casbin RBAC 和 ABAC 权限管理集成
Fanxil的博客
04-03 830
Casdoor 目前作为 Casbin 社区项目统一使用的鉴权平台,并且项目已开源。
Springcloud之OAuth2
xiaopang2020的博客
08-22 7851
springcloud之OAuth2
手把手OAuth2授权码模式(Authorization Code)
xuejianxinokok的专栏
04-30 5884
手把手入门OAuth2授权码模式(Authorization Code) 1.简单介绍 OAuth2 授权码模式模式基本上是用用户凭证获取token 后来获取资源的访问权限。其交互步骤如下图: 交互过程如下: 用户在客户端程序上操作某些功能希望从资源服务器获取数据 客户端程序重定向浏览器请求到授权服务器要求授权,在重定向之前客户端程序会给授权服务器传递一个参数作为回调地址 授权服务器请求用户同意,这个步骤一般需要用户先登录,如果已经登录则可能弹出一个交互页面请求用户同意授权 用户决定同意授权 授权服务器
prometheus-operator+oauth-proxy+github添加鉴权
因上努力,果上随缘。但行好事,莫问前程。
08-16 520
图片中的client-id、client-secret要记录一下,一会配置oauth-proxy 容器的时候会用到!
oauth2如何鉴权
07-28
OAuth 2.0提供了一种标准化的鉴权机制,用于对客户端应用程序进行身份验证和授权。OAuth 2.0的鉴权过程通常涉及以下几个角色和步骤: 1. 客户端应用程序:需要进行身份验证和授权的应用程序。 2. 资源所有者:拥有受保护资源的用户。 3. 授权服务器:负责验证用户身份并颁发访问令牌。 4. 资源服务器:存储和管理受保护的资源。 下面是OAuth 2.0的基本鉴权流程: 1. 客户端应用程序向资源所有者请求授权,这通常通过重定向用户到授权服务器的登录界面来实现。 2. 资源所有者登录并授权客户端应用程序访问其受保护的资源。 3. 授权服务器验证资源所有者的身份,并向客户端应用程序颁发一个授权码(authorization code)。 4. 客户端应用程序使用授权码向授权服务器请求访问令牌(access token)。 5. 授权服务器验证授权码的有效性,并向客户端应用程序颁发访问令牌。 6. 客户端应用程序使用访问令牌来访问受保护的资源服务器,并在每次请求中将访问令牌包含在请求头或请求参数中。 7. 资源服务器验证访问令牌的有效性,并根据访问令牌的权限控制对资源的访问。 需要注意的是,具体的鉴权流程可能因不同的身份提供者和授权服务器而有所不同。一般来说,OAuth 2.0提供了多种授权模式(如授权码模式、密码模式、客户端模式等),可以根据实际情况选择合适的授权模式来实现鉴权。 在实际开发中,通常会使用OAuth 2.0的客户端库或框架来简化鉴权过程,并提供相应的方法来处理授权码和访问令牌的请求和验证。这些库和框架可以根据不同的编程语言和技术栈进行选择和使用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值