Nginx व्यंजनों: CAS (केंद्रीय प्राधिकरण सेवा)

केंद्रीय प्राधिकरण सेवा तैयार करने के लिए, हमें स्वयं nginx और उसके प्लगइन्स एन्क्रिप्टेड-सेशन , इको , हेडर-अधिक , dif_request , eval , set-misc की आवश्यकता है । (मैंने अपने कांटे के लिंक दिए, क्योंकि मैंने कुछ बदलाव किए हैं जो अभी तक मूल रिपॉजिटरी में नहीं हैं। आप तैयार छवि का उपयोग भी कर सकते हैं।)

सर्वर भाग के लिए, ईएसआईए , मूल या एलडीएपी प्राधिकरण से सर्वर कॉन्फ़िगरेशन में टोकन पीढ़ी जोड़ें

location =/service { set_decode_base64 $auth_decode $cookie_auth; #    set_decrypt_session $auth_decrypt $auth_decode; #    if ($auth_decrypt) { #   ,     encrypted_session_expires 60; #     1  (1 * 60 = 60) set_encrypt_session $token_encrypt $auth_decrypt; #   set_encode_base64 $token_encode $token_encrypt; #   set_escape_uri $token_escape $token_encode; #   set_unescape_uri $service_unescape $arg_service; #       return 303 $service_unescape&token=$token_escape; #       } 

और टोकन सत्यापन

 location =/serviceValidate { set_unescape_uri $token_unescape $arg_token; #   set_decode_base64 $token_decode $token_unescape; #   set_decrypt_session $token_decrypt $token_decode; #   return 200 $token_decrypt; #       } 

और क्लाइंट सर्वर के कॉन्फ़िगरेशन में, हम पहले सेट करते हैं

 encrypted_session_key "abcdefghijklmnopqrstuvwxyz123456"; 

अगला, बस मामले में, प्राधिकरण शीर्ष लेख को अक्षम करें

 more_clear_input_headers Authorization; 

अब हम प्राधिकरण के साथ सब कुछ की रक्षा करते हैं

 auth_request /auth; location =/auth { internal; set_decode_base64 $auth_decode $cookie_auth; #    set_decrypt_session $auth_decrypt $auth_decode; #    if ($auth_decrypt = "") { return 401 UNAUTHORIZED; } #    ,      more_set_input_headers "Authorization: Basic $auth_decrypt"; #    basic (   $remote_user) echo -n OK; #   } 

अधिकृत उपयोगकर्ताओं के लिए, हम उनके फ़ोल्डर से सामग्री दिखाते हैं

 location / { alias html/$remote_user/; } 

और प्राधिकरण की अनुपस्थिति में, हम केंद्रीय प्राधिकरण सेवा को पुनर्निर्देशित करते हैं

 error_page 401 = @error401; location @error401 { set_escape_uri $request_uri_escape $request_uri; #   set_escape_uri $service_escape $scheme://$server_name:$server_port/login?request_uri=$request_uri_escape; #       return 303 https://$cas/service?service=$service_escape; #     ,  $cas -    } 

सफल प्राधिकरण के बाद, केंद्रीय प्राधिकरण सेवा हमें निर्दिष्ट पर पुनर्निर्देशित करती है

 location =/login { eval $auth { #      (    ) proxy_set_header X-Real-IP $remote_addr; #    proxy_pass $scheme://$cas:$server_port/serviceValidate?token=$arg_token; #   } if ($auth = "") { return 401 UNAUTHORIZED; } #    ,      encrypted_session_expires 43200; #     12  (12 * 60 * 60 = 43200) set_encrypt_session $auth_encrypt $auth; #  - set_encode_base64 $auth_encode $auth_encrypt; #   add_header Set-Cookie "Auth=$auth_encode; Max-Age=43200"; #      12  (12 * 60 * 60 = 43200) set $arg_request_uri_or_slash $arg_request_uri; #     set_if_empty $arg_request_uri_or_slash "/"; #    ,   set_unescape_uri $request_uri_unescape $arg_request_uri_or_slash; #   return 303 $request_uri_unescape; #     }