Recettes Nginx: CAS (Central Authorization Service)

Pour préparer le service d'autorisation central, nous avons besoin de nginx lui-même et de ses plugins de session cryptée , echo , headers-more , auth_request , eval , set-misc . (J'ai donné des liens vers mes fourches, car j'ai apporté des modifications qui n'ont pas encore été entassées dans les référentiels d'origine. Vous pouvez également utiliser l' image prête à l' emploi .)

Pour la partie serveur, ajoutez la génération de jetons à la configuration du serveur à partir d' une autorisation ESIA , de base ou LDAP

location =/service { set_decode_base64 $auth_decode $cookie_auth; #    set_decrypt_session $auth_decrypt $auth_decode; #    if ($auth_decrypt) { #   ,     encrypted_session_expires 60; #     1  (1 * 60 = 60) set_encrypt_session $token_encrypt $auth_decrypt; #   set_encode_base64 $token_encode $token_encrypt; #   set_escape_uri $token_escape $token_encode; #   set_unescape_uri $service_unescape $arg_service; #       return 303 $service_unescape&token=$token_escape; #       } 

et validation des jetons

 location =/serviceValidate { set_unescape_uri $token_unescape $arg_token; #   set_decode_base64 $token_decode $token_unescape; #   set_decrypt_session $token_decrypt $token_decode; #   return 200 $token_decrypt; #       } 

Et dans la configuration du serveur client, nous avons d'abord défini

 encrypted_session_key "abcdefghijklmnopqrstuvwxyz123456"; 

Ensuite, juste au cas où, désactivez l'en-tête d'autorisation

 more_clear_input_headers Authorization; 

Maintenant, nous protégeons tout avec autorisation

 auth_request /auth; location =/auth { internal; set_decode_base64 $auth_decode $cookie_auth; #    set_decrypt_session $auth_decrypt $auth_decode; #    if ($auth_decrypt = "") { return 401 UNAUTHORIZED; } #    ,      more_set_input_headers "Authorization: Basic $auth_decrypt"; #    basic (   $remote_user) echo -n OK; #   } 

Pour les utilisateurs autorisés, nous affichons le contenu de leur dossier

 location / { alias html/$remote_user/; } 

Et en l'absence d'autorisation, nous redirigeons vers le service central d'autorisation

 error_page 401 = @error401; location @error401 { set_escape_uri $request_uri_escape $request_uri; #   set_escape_uri $service_escape $scheme://$server_name:$server_port/login?request_uri=$request_uri_escape; #       return 303 https://$cas/service?service=$service_escape; #     ,  $cas -    } 

Après une autorisation réussie, le service d'autorisation central nous redirige vers le site spécifié

 location =/login { eval $auth { #      (    ) proxy_set_header X-Real-IP $remote_addr; #    proxy_pass $scheme://$cas:$server_port/serviceValidate?token=$arg_token; #   } if ($auth = "") { return 401 UNAUTHORIZED; } #    ,      encrypted_session_expires 43200; #     12  (12 * 60 * 60 = 43200) set_encrypt_session $auth_encrypt $auth; #  - set_encode_base64 $auth_encode $auth_encrypt; #   add_header Set-Cookie "Auth=$auth_encode; Max-Age=43200"; #      12  (12 * 60 * 60 = 43200) set $arg_request_uri_or_slash $arg_request_uri; #     set_if_empty $arg_request_uri_or_slash "/"; #    ,   set_unescape_uri $request_uri_unescape $arg_request_uri_or_slash; #   return 303 $request_uri_unescape; #     }