【Nginx】auth_request的使用,JWT结合cookie实现多系统统一认证,多系统身份统一认证,潘多拉部署解决

最新推荐文章于 2024-05-25 09:00:00 发布
最新推荐文章于 2024-05-25 09:00:00 发布
阅读量1.5k 收藏 1
点赞数 2
文章标签: nginx https 运维 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45885574/article/details/131169342
版权

文章目录

背景

     随着GPT的爆火,也想自己部署一个玩玩,推荐潘多拉(github),但存在一个问题,由于潘多拉是手动Token启动,一旦使用Toekn将自部署的第三方系统上线后,可直接使用地址栏访问使用,但这存在自己账户泄露的情况,如果不想让别人直接使用,由于是开源系统,源码上修改,比较费时,此时可通过nginx请求拦截转发到自己的认证系统

自系统认证技术

JWT+Cookie

问题

将自部署的三方系统使用自己系统的权限认证

解决方案

使用Nginx为我们提供的auth_request,结合Cookie子域名共享的机制,实现认证流程

技术细节

  1. 配置nginx
server{
	listen 443 ssl;
	listen [::]:443 ssl;
	server_name chat.xmdxz.xyz;
	
	ssl_certificate 填你自己的;
	ssl_certificate_key 填你自己的;
	ssl_session_timeout 5m;
	ssl_session_cache shared:SSL:10m;
	ssl_protocols TLSv1.2 TLSv1.3;
	ssl_ciphers ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256;
	ssl_prefer_server_ciphers on;
	error_log 填你自己的;
	rewrite_log off;	
	
	
	location / {
		//重点:当访问chat.xmdxz.xyz时,先转向/check路径进行拦截认证
		auth_request /check;
		//认证失败定义401状态码转向auth_page
		error_page 401 = /auth_page;
		proxy_pass http://127.0.0.1:8018;
		proxy_set_header X-Real-IP $remote_addr;
		proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
		proxy_set_header X-Forwarded-Proto $scheme;
		proxy_set_header Host $host;	
		proxy_buffering off;
	}
	//认证路径
	location = /check {
		//表示该路径仅仅为nginx内部访问,一旦出了这个配置文件,则失效
		internal;
		//自己系统的认证路径
		proxy_pass http://127.0.0.1:415/original/common/auth;
		error_page 401 = /auth_page;
	}
	//认证失败后的处理
	location = /auth_page{
		//强制浏览器不使用缓存,防止缓存带来的还能访问系统
		add_header Cache-Control "no-store, no-cache, must-revalidate, proxy-revalidate";
		//如果认证失败,跳转到自己系统的登录页面
		return 301 https://xmdxz.xyz/#/login;
	}
}
  1. 自己系统的登录逻辑中添加Cookie逻辑
        //同时设置cookie,目前用于子域名跳转的解决方案
        // 创建 Cookie 对象
        Cookie cookie = new Cookie("token", loginVo.getToken());
        // 设置过期时间为负值,即当前会话期间有效
        cookie.setMaxAge(365 * 24 * 60 * 60);
        // 设置路径
        cookie.setPath("/");
        // 设置域名,包括所有子域名
        cookie.setDomain("xmdxz.xyz");
        // 将 Cookie 添加到响应中
        cookie.setHttpOnly(true);
        response.addCookie(cookie);
手撕源码,脚踏框架
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
nginx-simple-login:一个轻量级的身份验证服务后端,旨在与nginxauth_request一起使用
04-04
nginx简单登录 一个轻量级的身份验证服务后端,旨在与nginxauth_request一起使用。 特征 auth_request处理程序, 验证页面, 本地用户数据库。 用法 基本的 克隆此仓库。 通过pip install .安装此软件包pip install . (建议安装在virtualenv )。 按照config.example.yaml创建config.yaml 。 最低版本: user_table : users.yaml site_name : Restrict Area logfile : /var/log/nslogin.py login_life_time : 2592000 # 30 days 使用nslogin-user命令添加用户,例如 nslogin-user --config config.yaml --add --name terry
nginx-auth:一个简单的身份验证应用程序,供nginx auth_request机制使用
05-09
Nginx验证 nginx-auth是一个简单的基于表单的身份验证服务器,旨在与nginxauth_request插件一起使用。 它允许您使用基于表单的身份验证代替基本身份验证来验证用户。 部署范例 location /private/ { auth_request /auth-check; # redirect 401 and 403 to login form error_page 401 403 =200 /nginx-auth/; } location /nginx-auth/ { proxy_pass http://localhost:3000/; proxy_redirect http://localhost:3000/ /; # Login service returns a redirect to the original
Nginxauth_request 模块详解与应用指南
最新发布
你知道莽村的莽怎么来的吗!
05-25 938
对于Web开发者来说,Nginx是一个强大且灵活的Web服务器和反向代理服务器。其模块化设计让我们可以根据需求定制Nginx的功能。在安全性和访问控制方面,Nginxauth_request模块是一个非常有用的工具。本文将详细介绍auth_request模块的用途、使用场景,并通过示例代码来说明其具体应用。auth_request 模块是Nginx的一个官方模块,用于在处理客户端请求时,将这些请求传递给一个外部的认证服务进行认证
vouch-proxy:使用auth_request模块的Nginx的SSO和OAuth OIDC登录解决方案
03-31
凭证代理 使用模块的Nginx的SSO解决方案。 Vouch Proxy可以一次保护您所有的网站。 Vouch Proxy支持许多OAuth和OIDC登录提供程序,并可以强制执行身份验证以... 谷歌 GitHub企业版 钥匙斗篷 其他大多数OpenID Connect(OIDC)提供商 当您将您的IdP或库部署到Vouch Proxy后,请务必告知我们,以便我们更新列表。 如果Vouch与Nginx反向代理在同一主机上运行,​​则从/validate端点到Nginx的响应时间应小于1ms 目录 (在GitHub上提交问题之前,请先阅读此内容) 凭证代理做什么... 证件代理(VP)强制访问者在允许他们访问网站之前登录并使用 (例如上面列出的服务之一)进行身份验证。 VP也可以用作单一登录(SSO)解决方案,以保护同一域中的所有Web应用程序。 访客登录后,Vouch Pr
Nginx】基于http响应状态码做权限控制的auth_request模块
姜太小白的博客
09-09 1982
安装auth_request模块(默认并未编译进Nginx,通过--with-http-auth-request-module启用) cd nginx-1.8.0 ./configure \ --prefix=/usr/local/nginx \ --pid-path=/var/run/nginx/nginx.pid \ --lock-path=/var/lock/nginx.lock \ --error-log-path=/var/log/nginx/error.log \ --http-log-pa
推荐开源项目:nginx-jwt - 在Nginx实现JWT验证
gitblog_00040的博客
04-16 369
推荐开源项目:nginx-jwt - 在Nginx实现JWT验证 项目地址:https://gitcode.com/auth0/nginx-jwt nginx-jwt 是一个由Auth0开发的Nginx模块,用于在Web服务器层处理JSON Web Tokens (JWT) 的验证。这个项目的目标是帮助开发者轻松地在Nginx上集成安全的身份验证和授权机制,无需将这些负担转移到应用程序层。 技术...
Nginx ngx_http_auth_request_module模块鉴权
AstarCloud
11-23 2921
auth_request模块 实现了基于一子请求的结果的客户端的授权。如果子请求返回2xx响应码,则允许访问。如果它返回401或403,则访问被拒绝并显示相应的错误代码。子请求返回的任何其他响应代码都被认为是错误的。使用的也是subrequest进行子请求。
记一次使用nginxauth_request进行鉴权
weixin_39897534的博客
04-16 7228
使用nginxauth_request进行鉴权 使用背景 由于项目中有这样的需求 对访问静态文件的路径进行鉴权 举例:浏览器访问 xxx.com/userId/a.png 这时候我们要对路径中userId进行鉴权,确认这个userId是否有权限访问这个a.png 可能描述有点偏差 准确点描述应该是浏览器当前登录的用户是否和这个url的userId是否一致,总感觉还是不对 但应该差不多这个需求把 ...
Nginx请求参数解析,auth_request img图片鉴权应用
nalanxiaoxiao2011的博客
10-11 2833
vue中给img的src添加token
nginx使用第三方做权限控制的auth_request模块
error311的博客
06-20 2768
auth_request模块 原理: 收到请求后生成子请求,通过反向代理技术把请求传递给上游服务 功能: 向上游的服务转发请求,若上游服务返回的状态码是2xx,则继续执行,若上游服务返回的是401或403,则将响应返回给客户端。 默认不编辑进nginx模块 --with-http_auth_request_module 1.auth_request uri | off 默认:auth_request off; 放置位置:http,server,location 2.aut...
Nginx(24)-Nginx Plus增强功能之身份验证JWT
davidwkx的博客
12-13 1404
使用NGINX Plus,可以使用JWT身份验证来控制对资源的访问。JWT 规范是 OpenID Connect 的重要基础,它为 OAuth 2.0 生态系统提供了单点登录令牌。JWT 本身还可以用作身份验证凭证,相比传统 API 密钥,它提供了一种更好的对基于 Web 的 API 的访问控制。API和微服务的部署者也在转向JWT标准,因为它的简单性和灵活性。使用JWT身份验证,客户端提供一个JSON Web令牌,该令牌将根据本地密钥文件或远程服务进行验证。
Nginx配置Basic Auth登录认证实现方法
09-30
本文将详细介绍如何使用Nginx配置Basic Auth登录认证,这是一种简单有效的权限验证机制。 Basic Auth(基本身份验证)是一种基于HTTP协议的身份验证方式,它将用户名和密码以Base64编码的形式发送到服务器。Nginx...
nginx-ldap-auth:使用ngx_http_auth_request_module的LDAP身份验证示例
04-29
nginx-ldap-auth 代表NGINXNGINX Plus代理的服务器对用户进行身份验证的方法的参考实现描述注意:为了便于阅读,本文档引用了 ,但它也适用于 。 和均包含必备的模块。 Nginx-ldap-auth软件是一种方法的参考实现,...
07_Nginx_auth_request模块
田一一
03-16 7707
07_Nginx_auth_request模块1. auth_request模块是什么2. auth_request模块的用途3. auth_request的启用4. auth_request的官方示例 1. auth_request模块是什么 ngx_http_auth_request_module模块(1.5.4+)实现了基于一子请求的结果的客户端的授权。如果子请求返回2xx响应码,则允许访问。如果它返回401或403,则访问被拒绝并显示相应的错误代码。子请求返回的任何其他响应代码都被认为是错误的。 a
NGINX基于子请求结果的身份验证
zsx0728的博客
02-07 2219
文章目录介绍先决条件配置NGINXNGINX Plus完整的例子 介绍 NGINXNGINX Plus可以通过外部服务器或服务验证每个对您网站的请求。为了执行身份验证,NGINX向验证子请求的外部服务器发出HTTP子请求。如果子请求返回2xx响应代码,则允许访问;如果子请求返回401或403,则拒绝访问。此类身份验证允许实现各种身份验证方案,例如多因素身份验证,或者允许实现LDAP或OAuth...
Nginx做静态文件服务器,如何进行权限验证呢?
u014374743的博客
02-01 3008
Nginx实现后台接口授权
nginx安装lua、jwt模块,通过lua验证jwt实现蓝绿发布样例
少说,多做
02-27 6174
例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。
JAVA Web 学习(五)Nginx、RPC、JWT
qq_42767993的博客
02-04 1858
支持热部署,几乎可以做到 7 * 24 小时不间断运行,即使运行几个月也不需要重新启动,还能在不间断服务的情况下对软件版本进行热更新。性能是 Nginx 最重要的考量,其占用内存少、并发能力强、能支持高达 5w 个并发连接数,最重要的是, Nginx 是免费的并可以商业化,配置使用也比较简单。服务器收到token后,取出前2部分使用私钥签名得到结果,与token第三部分比较,看是否相同。缺点:不支持注销、Token过期机制存在缺陷、Token数量过多可能导致性能问题。
nginx添加http_auth_request_module模块
07-12
要在Nginx中添加http_auth_request_module模块,你可以按照以下步骤操作: 1. 确认你的Nginx版本是否支持http_auth_request_module模块。你可以使用以下命令来检查: ``` nginx -V ``` 在输出结果中查找是否包含 "--with-http_auth_request_module" 字样,如果有,说明该模块已经被支持。 2. 如果你的Nginx版本不支持该模块,你需要重新编译Nginx并启用该模块。首先,下载Nginx的源代码: ``` wget http://nginx.org/download/nginx-x.x.x.tar.gz ``` (将 "x.x.x" 替换为你想要下载的版本号) 3. 解压源代码包: ``` tar -zxvf nginx-x.x.x.tar.gz ``` 4. 进入解压后的目录: ``` cd nginx-x.x.x ``` 5. 执行以下命令进行配置,确保启用了http_auth_request_module模块: ``` ./configure --with-http_auth_request_module ``` 6. 执行以下命令编译并安装Nginx: ``` make sudo make install ``` 7. 配置Nginx的配置文件(通常是位于 /etc/nginx/nginx.conf)。在合适的位置添加以下配置项: ``` location / { auth_request /auth; ... } location = /auth { internal; proxy_pass http://auth_backend; ... } ``` 这里的 "/auth" 是用来处理认证请求的URL,你可以根据需要进行修改。"http://auth_backend" 是实际处理认证请求的后端服务地址,也需要根据实际情况进行修改。 8. 保存并关闭配置文件后,重启Nginx服务: ``` sudo service nginx restart ``` 现在,你已经成功地添加了http_auth_request_module模块到Nginx中。你可以根据实际需求进一步配置和使用该模块来进行认证授权操作。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值