🔻 🖕🏿 🥢 Nginx व्यंजनों: ईएसआईए के माध्यम से प्राधिकरण 👩🏽‍🤝‍👨🏿 👃🏿 👩🏽‍✈️

ESIA के माध्यम से प्राधिकरण तैयार करने के लिए हमें स्वयं nginx और उसके प्लगइन्स एन्क्रिप्ट किए गए सत्र , हेडर-अधिक , Andor_request , uuid4 , set-misc , echo , json , sign , jwt की आवश्यकता है । (मैंने अपने कांटे के लिंक दिए, क्योंकि मैंने कुछ बदलाव किए हैं जो अभी तक मूल रिपॉजिटरी में नहीं हैं। आप तैयार छवि का उपयोग भी कर सकते हैं।)

शुरू करने के लिए, आइए सेट करें

encrypted_session_key "abcdefghijklmnopqrstuvwxyz123456";

अगला, बस मामले में, प्राधिकरण शीर्ष लेख को अक्षम करें

 more_clear_input_headers Authorization;

अब हम प्राधिकरण के साथ सब कुछ की रक्षा करते हैं

 auth_request /auth; location =/auth { internal; set_decode_base64 $auth_decode $cookie_auth; #    set_decrypt_session $auth_decrypt $auth_decode; #    if ($auth_decrypt = "") { return 401 UNAUTHORIZED; } #    ,      more_set_input_headers "Authorization: Basic $auth_decrypt"; #    basic (   $remote_user) echo -n OK; #   }

अधिकृत उपयोगकर्ताओं के लिए, हम उनके फ़ोल्डर से सामग्री दिखाते हैं

 location / { alias html/$remote_user/; }

और प्राधिकरण की अनुपस्थिति में, हम ईएसआईए को पुनर्निर्देशित करते हैं

 error_page 401 = @error401; location @error401 { set $client_id ; #    set $scope openid; #    uuid4 $state; #    set_formatted_local_time $timestamp "%Y.%m.%d %H:%M:%S %z"; #  -     sign_certificate /data/nginx/esia.crt; #   (    ) sign_certificate_key /data/nginx/esia.key; #    sign_set $client_secret $scope$timestamp$client_id$state; #     set_escape_uri $access_type_escape online; #         set_escape_uri $client_id_escape $client_id; #   set_escape_uri $client_secret_escape $client_secret; #   set_escape_uri $request_uri_escape $request_uri; #    set_escape_uri $redirect_uri_escape $scheme://$server_name:$server_port/login?request_uri=$request_uri_escape; #      set_escape_uri $response_type_escape code; #      set_escape_uri $scope_escape $scope; #   set_escape_uri $state_escape $state; #   set_escape_uri $timestamp_escape $timestamp; #  - return 303 https://esia.gosuslugi.ru/aas/oauth2/ac?access_type=$access_type_escape&client_id=$client_id_escape&client_secret=$client_secret_escape&redirect_uri=$redirect_uri_escape&response_type=$response_type_escape&scope=$scope_escape&state=$state_escape&timestamp=$timestamp_escape; #

ईएसआईए में उपयोगकर्ता के सफल प्राधिकरण के बाद, उसे रिटर्न पते पर पुनः निर्देशित किया जाता है

 location =/login { auth_request off; #    auth_jwt_key /data/nginx/esia.pub file; #    (    )    auth_jwt $arg_code; #   json_loads $jwt_grant_json $jwt_grant; #      json_dumps $oid $jwt_grant_json urn:esia:sbj urn:esia:sbj:oid; #  oid try_files /try?username=$oid; #     } location =/try { internal; if ($arg_username = "") { return 401 UNAUTHORIZED; } #  oid  ,      encrypted_session_expires 43200; #     12  (12 * 60 * 60 = 43200) set_secure_random_alphanum $password 8; #     basic  set $username_password ESIA-$arg_username:$password; #  basic  set_encode_base64 $username_password_encode $username_password; #  basic  set_encrypt_session $auth_encrypt $username_password_encode; #  basic  set_encode_base64 $auth_encode $auth_encrypt; #   basic  add_header Set-Cookie "Auth=$auth_encode; Max-Age=43200"; #   basic      12  (12 * 60 * 60 = 43200) set $arg_request_uri_or_slash $arg_request_uri; #     set_if_empty $arg_request_uri_or_slash "/"; #    ,   set_unescape_uri $request_uri_unescape $arg_request_uri_or_slash; #   return 303 $request_uri_unescape; #     }

Nginx व्यंजनों: ईएसआईए के माध्यम से प्राधिकरण

More articles: