NGINX基于子请求结果的身份验证

最新推荐文章于 2024-03-16 09:38:31 发布
最新推荐文章于 2024-03-16 09:38:31 发布
阅读量2.1k 收藏 2
点赞数
分类专栏: Nginx 文章标签: nginx auth_request

文章目录

介绍

NGINX和NGINX Plus可以通过外部服务器或服务验证每个对您网站的请求。为了执行身份验证,NGINX向验证子请求的外部服务器发出HTTP子请求。如果子请求返回2xx响应代码,则允许访问;如果子请求返回401或403,则拒绝访问。此类身份验证允许实现各种身份验证方案,例如多因素身份验证,或者允许实现LDAP或OAuth身份验证。

先决条件
  • NGINX Plus或NGINX开源版
  • 外部认证服务器或服务
配置NGINX和NGINX Plus
  1. 确保使用with-http_auth_request_module配置选项编译了NGINX开源。运行此命令并验证输出是否包括 --with-http_auth_request_module:
$ nginx -V 2>&1 | grep -- 'http_auth_request_module'
  1. 在需要请求身份验证的位置,指定auth_request指令,在该指令中指定将授权子请求转发到的内部位置:
location /private/ {
    auth_request /auth;
    #...
}

在这里,对于每个到 /private 的请求,都会向内部 /auth 位置发出一个子请求。

  1. 指定一个内部位置和此位置内的proxy_pass指令,该指令将把身份验证子请求代理到身份验证服务器或服务:
location = /auth {
    internal;
    proxy_pass http://auth-server;
    #...
}
  1. 由于身份验证子请求将丢弃请求体,因此需要将proxy-pass-request-body指令设置为off,并将Content-Length头设置为空字符串:
location = /auth {
    internal;
    proxy_pass              http://auth-server;
    proxy_pass_request_body off;
    proxy_set_header        Content-Length "";
    #...
}
  1. 使用带有proxy_set_header指令的参数传递完整的原始请求URI:
location = /auth {
    internal;
    proxy_pass              http://auth-server;
    proxy_pass_request_body off;
    proxy_set_header        Content-Length "";
    proxy_set_header        X-Original-URI $request_uri;
}
  1. 作为选择,您可以使用auth_request_set指令根据子请求的结果设置变量值:
location /private/ {
    auth_request        /auth;
    auth_request_set $auth_status $upstream_status;
}
完整的例子

本示例将前面的步骤总结为一个配置:

http {
    #...
    server {
    #...
        location /private/ {
            auth_request     /auth;
            auth_request_set $auth_status $upstream_status;
        }

        location = /auth {
            internal;
            proxy_pass              http://auth-server;
            proxy_pass_request_body off;
            proxy_set_header        Content-Length "";
            proxy_set_header        X-Original-URI $request_uri;
        }
    }
}
参考文档

https://docs.nginx.com/nginx/admin-guide/security-controls/configuring-subrequest-authentication/

zsx0728
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
nginx-ldap-auth:使用ngx_http_auth_request_module的LDAP身份验证示例
04-29
nginx-ldap-auth 代表NGINXNGINX Plus代理的服务器对用户进行身份验证的方法的参考实现 描述 注意:为了便于阅读,本文档引用了 ,但它也适用于 。 和均包含必备的模块。 Nginx-ldap-auth软件是一种方法的参考实现,该方法用于对从NGINX Plus代理的服务器请求受保护资源的用户进行身份验证。 它包括一个与身份验证服务器进行通信的守护程序( ldap-auth ),以及一个示例守护程序,该示例守护程序在测试期间通过基于用户凭据生成身份验证cookie来代表实际的后端服务器。 这些守护程序是用Python编写的,可与轻型目录访问协议(LDAP)身份验证服务器(OpenLDAP或Microsoft Windows Active Directory 2003和2012)一起使用。 在NGINX Plus和LDAP服务器之间进行中介的ldap-auth
使用auth_request做权限控制
Cross_self的专栏
01-19 4225
nginxauth_request做权限校验,并动态传递参数到校验后台,实现校验规则。
【脚本】nginx配置概览
xhdxhdxhd的博客
12-23 121
静态文件配置 root指令:配置uri查找的根目录 基本配置语法: location URI { root PATH_TO_ROOT } 如果URI以/结尾,则认为这是个目录,因此可以返回一批文件。 ...
推荐文章:了解并使用 `nginx-auth-ldap`
最新发布
gitblog_00064的博客
03-16 419
推荐文章:了解并使用 nginx-auth-ldap 项目简介 nginx-auth-ldap 是一个用于 Nginx 的 LDAP 认证模块,它允许您使用 LDAP 服务器作为认证来源,以保护您的 Web 应用程序或网站。 访问项目页面 功能和应用场景 通过将 nginx-auth-ldap 集成到您的 Nginx 配置中,您可以实现以下功能: 基于 LDAP 的身份验证: 使用 LDAP 服...
authdelegate:将请求路由到多个身份验证服务器的服务器
05-03
authdelegate身份验证代理服务器 一种基于请求中特定标头或cookie的存在将经过身份验证请求路由到多个身份验证服务器的服务器。 它与及其auth_request指令兼容。 用例 想象一下由nginx服务的包含API端点的静态站点,该站点应该通过 (这样普通用户才能在浏览器中看到JSON)和 (以便程序可以通过HMAC身份验证请求访问端点)进行身份验证)。 该程序允许您根据任何传入请求具有Oauth2 cookie或包含HMAC签名的标头将请求转发到两个服务器。 注意:虽然主要用例是将auth_request委派给多个认证服务器,但是authdelegate通常可用于代理请求。 安装 现在,从源代码安装: $ go get github.com/18F/authdelegate 配置和执行 authdelegate采用一个命令行参数,即配置信息的JSON文件的路径。
nginx-auth:一个简单的身份验证应用程序,供nginx auth_request机制使用
05-09
Nginx验证 nginx-auth是一个简单的基于表单的身份验证服务器,旨在与nginxauth_request插件一起使用。 它允许您使用基于表单的身份验证代替基本身份验证来验证用户。 部署范例 location /private/ { auth_request /auth-check; # redirect 401 and 403 to login form error_page 401 403 =200 /nginx-auth/; } location /nginx-auth/ { proxy_pass http://localhost:3000/; proxy_redirect http://localhost:3000/ /; # Login service returns a redirect to the original
23_access 阶段 auth_request
AntHub的博客
10-02 1013
23_access 阶段 auth_request
07_Nginx_auth_request模块
田一一
03-16 7325
07_Nginx_auth_request模块1. auth_request模块是什么2. auth_request模块的用途3. auth_request的启用4. auth_request的官方示例 1. auth_request模块是什么 ngx_http_auth_request_module模块(1.5.4+)实现了基于一请求的结果的客户端的授权。如果请求返回2xx响应码,则允许访问。如果它返回401或403,则访问被拒绝并显示相应的错误代码。请求返回的任何其他响应代码都被认为是错误的。 a
nginx:使用第三方做权限控制的auth_request模块
error311的博客
06-20 2702
auth_request模块 原理: 收到请求后生成请求,通过反向代理技术把请求传递给上游服务 功能: 向上游的服务转发请求,若上游服务返回的状态码是2xx,则继续执行,若上游服务返回的是401或403,则将响应返回给客户端。 默认不编辑进nginx模块 --with-http_auth_request_module 1.auth_request uri | off 默认:auth_request off; 放置位置:http,server,location 2.aut...
Nginx】基于http响应状态码做权限控制的auth_request模块
姜太小白的博客
09-09 1816
安装auth_request模块(默认并未编译进Nginx,通过--with-http-auth-request-module启用) cd nginx-1.8.0 ./configure \ --prefix=/usr/local/nginx \ --pid-path=/var/run/nginx/nginx.pid \ --lock-path=/var/lock/nginx.lock \ --error-log-path=/var/log/nginx/error.log \ --http-log-pa
Nginxauth_request的使用,JWT结合cookie实现多系统统一认证,多系统身份统一认证,潘多拉部署解决
weixin_45885574的博客
06-12 1420
Nginxauth_request的使用,JWT结合cookie实现多系统统一认证,多系统身份统一认证,潘多拉部署解决
bouncer:满足您的旧式身份验证需求的OAuth2服务器
05-09
基于OAuth2的身份验证服务器/中继。 我说中继是因为它将实际的认证请求委托给一个单独的Web服务。 它使用#golang编写,并将Osin库用于其OAuth2实现。 您将需要编写一个简单的Web服务来执行查找和密码验证。 我写了一个示例,您可以将其用作参考:( ) 委派的Web服务可能会以最适合弱化查找和验证操作实现的任何编程语言进行配置。 是omniauth兼容的gem,可简化基于Rails的应用程序的开发。 最小的依赖 旨在使Bouncer独立存在,没有运行时依赖项。 具体来说: 它处理SSL(即将推出)和静态资产(因此不需要像Nginx或Apache这样的前端服务器) 没有数据库(而是内部InMemory数据存储-即使对于成千上万的用户,内存使用也很少) 这些有助于降低操作复杂性并最大程度地减少攻击面。 入门 登录页面是完全可定制的。 CSS和javascript文
nginx-redmine-access:基于Nginx的基于Redmine的身份验证
05-26
这些脚本将Nginx用户身份验证与Redmine项目的数据库绑定在一起。 这些是的延续,已针对基础结构进行了更新。 redmine接口是在redmine.lua实现的,而auth决定是通过AccessHandler对象在access.lua进行的。 通过传入句柄和auth领域来创建AccessHandler的实例,然后handle方法将处理当前的nginx请求。 例如, init_by_lua ' local dbi = require("DBI") local access = require("access") local db, err = dbi.Connect("DRIVER", "DATABASE", "USERNAME", "PASSWORD") assert(db, err) handler = access.AccessHa
kubehook:基于 JWT 的 Kubernetes webhook 身份验证服务
05-30
库贝钩 Kubehook 是 Kubernetes 的 Webhook 服务。 它提供了一个 API 端点来生成 ,另一个代表 Kubernetes 验证令牌。 生成令牌 Kubehook 提供了一个小的 Web UI 来请求令牌: 请求令牌后,UI会说明如何使用令牌: Kubehook 可以选择配置一组 Kubernetes 集群来自动配置。 当使用--kubecfg-template运行时,用户可以简单地下载一个~/.kube/config文件,该文件预先配置了众所周知的集群。 部署 Kubehook Kubehook 假设它运行在反向代理之后,例如终止 TLS 并验证调用者身份的 nginx。 默认情况下,将为通过可配置的 HTTP 标头 - X-Forwarded-User提供的用户名生成令牌。 CFG= $( mktemp -d /tmp/kubehook.XXXX
Nginx图片鉴权auth模块,重新编译添加新的模块及http504状态码
nalanxiaoxiao2011的博客
10-10 732
nginx添加图片鉴权模块 重新编译
Nginx ngx_http_auth_request_module模块鉴权
AstarCloud
11-23 2809
auth_request模块 实现了基于一请求的结果的客户端的授权。如果请求返回2xx响应码,则允许访问。如果它返回401或403,则访问被拒绝并显示相应的错误代码。请求返回的任何其他响应代码都被认为是错误的。使用的也是subrequest进行请求
Nginx请求参数解析,auth_request img图片鉴权应用
nalanxiaoxiao2011的博客
10-11 2088
vue中给img的src添加token
Nginx + Flask搭建LDAP认证--nginx-auth-request-module 的使用
oBenMa的博客
11-26 2769
Nginx + Flask搭建LDAP认证--nginx-auth-request-module 的使用需求由来参考Nginxauth_request 模块nginx安装/etc/nginx/conf.d/auth.conf 需求由来 kibana,Elasticsearch 等业务需要对外服务的时候,头痛了把。传统方法 使用basic认真。用户管理起来麻烦。 公司内部有多个业务开发部门,为...
nginx的http_auth_request_module认证模块
weixin_43735255的博客
12-18 2762
查看安装的nginx中是否含有http_auth_request_module模块 在nginx.conf中加入下面参数 ######## 音视频服务器 ################### location ~* .(mp4|m4v|avi|flv|mkv|mov|wmv|3gp|mp3)$ { root D:/data/cameroun; a...
nginx代理session
07-18
在这个会话过程中,Nginx会记录并管理与该会话相关的所有信息,包括会话的状态、用户的身份验证信息、会话的生命周期等。 通过Nginx代理session,可以实现会话的无缝切换和高可用性。当一个后端服务器出现故障或...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值