NGINX基于子请求结果的身份验证

最新推荐文章于 2024-07-25 07:26:22 发布
最新推荐文章于 2024-07-25 07:26:22 发布
阅读量2.2k 收藏 2
点赞数
分类专栏: Nginx 文章标签: nginx auth_request

文章目录

介绍

NGINX和NGINX Plus可以通过外部服务器或服务验证每个对您网站的请求。为了执行身份验证,NGINX向验证子请求的外部服务器发出HTTP子请求。如果子请求返回2xx响应代码,则允许访问;如果子请求返回401或403,则拒绝访问。此类身份验证允许实现各种身份验证方案,例如多因素身份验证,或者允许实现LDAP或OAuth身份验证。

先决条件
  • NGINX Plus或NGINX开源版
  • 外部认证服务器或服务
配置NGINX和NGINX Plus
  1. 确保使用with-http_auth_request_module配置选项编译了NGINX开源。运行此命令并验证输出是否包括 --with-http_auth_request_module:
$ nginx -V 2>&1 | grep -- 'http_auth_request_module'
  1. 在需要请求身份验证的位置,指定auth_request指令,在该指令中指定将授权子请求转发到的内部位置:
location /private/ {
    auth_request /auth;
    #...
}

在这里,对于每个到 /private 的请求,都会向内部 /auth 位置发出一个子请求。

  1. 指定一个内部位置和此位置内的proxy_pass指令,该指令将把身份验证子请求代理到身份验证服务器或服务:
location = /auth {
    internal;
    proxy_pass http://auth-server;
    #...
}
  1. 由于身份验证子请求将丢弃请求体,因此需要将proxy-pass-request-body指令设置为off,并将Content-Length头设置为空字符串:
location = /auth {
    internal;
    proxy_pass              http://auth-server;
    proxy_pass_request_body off;
    proxy_set_header        Content-Length "";
    #...
}
  1. 使用带有proxy_set_header指令的参数传递完整的原始请求URI:
location = /auth {
    internal;
    proxy_pass              http://auth-server;
    proxy_pass_request_body off;
    proxy_set_header        Content-Length "";
    proxy_set_header        X-Original-URI $request_uri;
}
  1. 作为选择,您可以使用auth_request_set指令根据子请求的结果设置变量值:
location /private/ {
    auth_request        /auth;
    auth_request_set $auth_status $upstream_status;
}
完整的例子

本示例将前面的步骤总结为一个配置:

http {
    #...
    server {
    #...
        location /private/ {
            auth_request     /auth;
            auth_request_set $auth_status $upstream_status;
        }

        location = /auth {
            internal;
            proxy_pass              http://auth-server;
            proxy_pass_request_body off;
            proxy_set_header        Content-Length "";
            proxy_set_header        X-Original-URI $request_uri;
        }
    }
}
参考文档

https://docs.nginx.com/nginx/admin-guide/security-controls/configuring-subrequest-authentication/

zsx0728
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Nginx(24)-Nginx Plus增强功能之身份验证JWT
davidwkx的博客
12-13 1427
使用NGINX Plus,可以使用JWT身份验证来控制对资源的访问。JWT 规范是 OpenID Connect 的重要基础,它为 OAuth 2.0 生态系统提供了单点登录令牌。JWT 本身还可以用作身份验证凭证,相比传统 API 密钥,它提供了一种更好的对基于 Web 的 API 的访问控制。API和微服务的部署者也在转向JWT标准,因为它的简单性和灵活性。使用JWT身份验证,客户端提供一个JSON Web令牌,该令牌将根据本地密钥文件或远程服务进行验证。
nginx-auth:一个简单的身份验证应用程序,供nginx auth_request机制使用
05-09
Nginx验证 nginx-auth是一个简单的基于表单的身份验证服务器,旨在与nginxauth_request插件一起使用。 它允许您使用基于表单的身份验证代替基本身份验证来验证用户。 部署范例 location /private/ { auth_request /auth-check; # redirect 401 and 403 to login form error_page 401 403 =200 /nginx-auth/; } location /nginx-auth/ { proxy_pass http://localhost:3000/; proxy_redirect http://localhost:3000/ /; # Login service returns a redirect to the original
nginx:使用第三方做权限控制的auth_request模块
error311的博客
06-20 2770
auth_request模块 原理: 收到请求后生成请求,通过反向代理技术把请求传递给上游服务 功能: 向上游的服务转发请求,若上游服务返回的状态码是2xx,则继续执行,若上游服务返回的是401或403,则将响应返回给客户端。 默认不编辑进nginx模块 --with-http_auth_request_module 1.auth_request uri | off 默认:auth_request off; 放置位置:http,server,location 2.aut...
Nginxauth_request 模块详解与应用指南
你知道莽村的莽怎么来的吗!
05-25 1081
对于Web开发者来说,Nginx是一个强大且灵活的Web服务器和反向代理服务器。其模块化设计让我们可以根据需求定制Nginx的功能。在安全性和访问控制方面,Nginxauth_request模块是一个非常有用的工具。本文将详细介绍auth_request模块的用途、使用场景,并通过示例代码来说明其具体应用。auth_request 模块是Nginx的一个官方模块,用于在处理客户端请求时,将这些请求传递给一个外部的认证服务进行认证。
Nginx 限制访问 - 配置基于请求结果的认证
kikajack的博客
02-20 1562
原文地址 1. 概述 NGINX and NGINX Plus can authenticate each request to your website with an external server or service. To perform authentication, NGINX makes an HTTP subrequest to an external server wher
Nginx系列】基于请求头的分发
shiranyyds的博客
06-12 798
🌈你好呀!我是 山顶风景独好 🎈欢迎踏入我的博客世界,能与您在此邂逅,真是缘分使然!😊 🌸愿您在此停留的每一刻,都沐浴在轻松愉悦的氛围中。 📖这里不仅有丰富的知识和趣味横生的内容等您来探索,更是一个自由交流的平台,期待您留下独特的思考与见解。🌟 🚀让我们一起踏上这段探索与成长的旅程,携手挖掘更多可能,共同进步!💪✨
基于表单的身份验证
01-22 1312
目前用户的认证多半是基于表单的认证,基于表单的认证一般会使用 Cookie 来管理Session(Session会话,Session代表着服务器和客户端一次会话的过程,直到Session失效(服务端关闭)或者客户端关闭时结束)。基于表单认证本身是通过服务器端的Web应用,将客户端发送过来的用户ID和密码与之前登录过的信息做匹配来进行认证的。 但鉴于 HTTP 是无状态协议, 之前已认证成功的用户状...
Nginx 如何处理请求中的自定义标头?
2401_86074221的博客
07-25 743
在网络世界的广袤天地中,Nginx 就如同一位精明能干的交通指挥员,有条不紊地处理着来来往往的请求。而请求中的自定义标头,就像是包裹上的特殊标签,蕴含着独特的信息。那么,Nginx 是如何巧妙应对这些自定义标头的呢?这就像是解开一个神秘的谜题,让我们一同探索。想象一下,你在寄快递的时候,除了填写收件人和寄件人的基本信息,还额外在包裹上贴了一张纸条,上面写着“加急”或者“易碎物品”等特殊说明。
怎样在 Nginx配置基于请求客户端证书的访问控制?
2401_86074221的博客
07-23 638
通过在 Nginx配置基于请求客户端证书的访问控制,我们为网络服务增添了一层强大的安全防护。就像为我们的城堡筑起了高高的城墙,让不法之徒难以入侵。随着网络安全威胁的不断变化和发展,我们需要不断学习和更新我们的安全策略。Nginx 也在不断发展和改进,未来可能会提供更强大、更灵活的访问控制功能,我们要紧跟技术的步伐,为我们的网络世界打造一个坚不可摧的堡垒。希望这篇文章能够帮助您成功地在 Nginx配置基于请求客户端证书的访问控制,让您的网络服务更加安全可靠。
nginx 双向证书验证_使用Nginx的基于证书的双向TLS身份验证
weixin_26740495的博客
09-03 1654
nginx 双向证书验证Additional layer of security for your Flask or FastAPI serverFlask或FastAPI服务器的附加安全层 You will learn to create self-signed server certificates in order to serve your web application as https...
nginx-redmine-access:基于Nginx的基于Redmine的身份验证
05-26
这些脚本将Nginx用户身份验证与Redmine项目的数据库绑定在一起。 这些是的延续,已针对基础结构进行了更新。 redmine接口是在redmine.lua实现的,而auth决定是通过AccessHandler对象在access.lua进行的。 通过传入...
nginx-http-shibboleth:用于nginx的Shibboleth身份验证请求模块
01-28
Shibboleth是基于SAML 2.0标准的身份验证和授权框架,广泛应用于教育和企业环境。 **Nginx与Shibboleth的集成** Nginx作为一款高性能的HTTP和反向代理服务器,常用于处理静态内容和作为负载均衡器。通过`nginx-...
基于javascript处理nginx请求过程详解
11-19
7. **API网关**: 通过NJS实现API聚合、版本控制、身份验证等功能。 通过NJS,开发者可以在不改变后端服务的情况下,利用Nginx的强大性能和灵活性,对HTTP请求进行精细化处理,满足复杂业务场景的需求。这使得Nginx...
Nginx集群之WCF分布式身份验证(支持Soap)含源代码
11-20
在WCF分布式身份验证的场景中,Nginx作为反向代理,可以接收客户端请求进行负载均衡分配,同时实现身份验证,提高系统的整体效率。 WCF是.NET框架下的一个全面的服务通信平台,它支持多种协议,包括SOAP。SOAP...
kubehook:基于 JWT 的 Kubernetes webhook 身份验证服务
05-30
Kubehook 假设它运行在反向代理之后,例如终止 TLS 并验证调用者身份的 nginx。 默认情况下,将为通过可配置的 HTTP 标头 - X-Forwarded-User提供的用户名生成令牌。 CFG= $( mktemp -d /tmp/kubehook.XXXX
Nginx配置Basic_Auth登录认证,NGINX使用 HTTP 基本身份验证限制访问
m0_50641264的博客
02-09 1699
Nginx配置Basic_Auth登录认证,NGINX使用 HTTP 基本身份验证限制访问
基于卷积神经网络的语音识别声学模型的研究
08-04
【项目资源】:包含前端、后端、移动开发、人工智能、物联网、信息化管理、数据库、硬件开发、大数据、课程资源,毕业设计等各种技术项目的源码。包括C++、Java、python、web、C#、EDA等项目的源码。 【适用人群】:适用于希望学习不同技术领域的初学者或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。 【附加价值】:项目具有较高的学习借鉴价值,也可直接拿来修改复刻。对于有一定基础或热衷于研究的人来说,可以在这些基础代码上进行修改和扩展,实现其他功能。 【沟通交流】:有任何使用上的问题,欢迎随时与博主沟通,博主会及时解答。鼓励下载和使用,并欢迎大家互相学习,共同进步。
VCD租借管理系统VB(源程序+论文).rar
最新发布
08-04
VCD租借管理系统VB(源程序+论文)
nginx代理session
07-18
### 回答1: Nginx是一款高性能的Web服务器和反向代理服务器,它可以通过反向代理的方式来代理会话。通过Nginx代理会话,可以实现负载均衡和高可用性。 在Nginx中代理会话的方式有多种,其中一种常见的方式是使用Nginx的负载均衡模块来实现。通过配置负载均衡模块,可以将请求转发给多个后端服务器,从而分担服务器的负载。一般来说,可以使用轮询、权重、IP哈希等方式来决定请求应该转发到哪个后端服务器上。 当用户发起一个新的会话请求时,Nginx可以根据预先定义的规则将请求转发给一个后端服务器,并在其中创建一个session。在这个会话过程中,Nginx会记录并管理与该会话相关的所有信息,包括会话的状态、用户的身份验证信息、会话的生命周期等。 通过Nginx代理session,可以实现会话的无缝切换和高可用性。当一个后端服务器出现故障或需要维护时,Nginx可以将该会话转发给其他可用的后端服务器,以确保用户的请求得到处理。这种方式可以提高系统的可用性和稳定性。 总结来说,Nginx代理会话是通过配置负载均衡模块来实现的,可以将会话请求转发给多个后端服务器,并在其中管理和记录会话的相关信息。这种方式可以实现负载均衡和高可用性,提高系统的性能和稳定性。 ### 回答2: nginx代理session是指通过nginx服务器来转发和处理HTTP请求中的session信息。在大多数情况下,nginx主要用于代理和负载均衡,不能直接处理请求的session信息。然而,在一些特定的场景下,如高并发情况下的负载均衡、高可用性等需求,我们可以使用nginx来代理session。 具体而言,当客户端发送请求nginx服务器时,nginx会将请求转发给后端的应用服务器进行处理。为了确保多个应用服务器之间的session一致性,我们可以采用一些策略来实现nginx代理session。 一种常见的策略是使用"sticky session",即粘性会话。当客户端首次发送请求nginx服务器时,nginx会根据一定的规则将该请求分发给特定的应用服务器,并且将该请求与特定的应用服务器建立关联。后续的请求都会通过nginx转发到同一个应用服务器上,从而保持session的一致性。 另一种策略是使用第三方模块,如ngx_http_upstream_session_sticky_module。该模块提供了基于cookie和参数的session粘性会话,并且可以配置session粘性的过期时间、session键和值等。 通过上述策略,nginx代理session的工作原理是,当客户端发送请求nginx服务器时,nginx会根据特定的算法或配置规则将请求转发给特定的应用服务器,并将该请求与特定的应用服务器建立关联。后续的请求都会通过nginx转发到同一个应用服务器上,并且保持session的一致性,从而实现nginx代理session的功能。 总之,nginx代理session能够帮助我们实现session一致性和负载均衡,并提高系统的性能和可用性。它是在特定场景下使用nginx服务器的一种有效的解决方案。 ### 回答3: nginx是一款开源的高性能Web服务器和反向代理服务器。它可以作为代理服务器,用于将客户端的请求转发给后端的服务器,并将服务器的响应返回给客户端。当需要实现基于Session的负载均衡时,可以使用nginx作为代理服务器来实现。 首先,在nginx配置文件中,需要定义一个upstream块来配置后端服务器列表。通过在upstream块中添加多个后端服务器的IP地址和端口号,nginx可以将请求按照一定的算法分发给后端服务器。 其次,可以通过nginx的location指令来配置Session的保持方式。可以使用proxy_pass指令将请求转发给后端服务器,并使用proxy_set_header指令来设置HTTP头信息,包括Cookie信息。这样,当客户端再次发送请求时,nginx会带上之前的Session信息,保持Session的连续性。 此外,为了实现Session的负载均衡,可以使用nginx的Session Sticky模块。该模块可以通过检查请求的Cookie信息或者自定义的参数来判断请求应该转发到哪个后端服务器。这样可以确保同一个客户端的请求总是被分发到同一个后端服务器,保证Session的正确性和连续性。 总结来说,使用nginx作为代理服务器,可以通过配置upstream块来实现Session的负载均衡,通过配置location指令和使用Session Sticky模块来保持Session的连续性。这样可以提高系统的可用性和性能,实现高效的Web应用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值