Geekly articles weekly

Receitas Nginx: CAS (Serviço Central de Autorização)

Para preparar o serviço de autorização central, precisamos do próprio nginx e de seus plugins sessão criptografada , eco , headers-more , auth_request , eval , set-misc . (Forneci links para meus garfos, porque fiz algumas alterações que até agora não puderam ser enviadas para os repositórios originais. Você também pode usar a imagem pronta .)

Para a parte do servidor, adicione geração de token à configuração do servidor a partir da autorização ESIA , básica ou LDAP

location =/service { set_decode_base64 $auth_decode $cookie_auth; #    set_decrypt_session $auth_decrypt $auth_decode; #    if ($auth_decrypt) { #   ,     encrypted_session_expires 60; #     1  (1 * 60 = 60) set_encrypt_session $token_encrypt $auth_decrypt; #   set_encode_base64 $token_encode $token_encrypt; #   set_escape_uri $token_escape $token_encode; #   set_unescape_uri $service_unescape $arg_service; #       return 303 $service_unescape&token=$token_escape; #       }
e validação de token

 location =/serviceValidate { set_unescape_uri $token_unescape $arg_token; #   set_decode_base64 $token_decode $token_unescape; #   set_decrypt_session $token_decrypt $token_decode; #   return 200 $token_decrypt; #       }

E na configuração do servidor cliente, primeiro definimos

 encrypted_session_key "abcdefghijklmnopqrstuvwxyz123456";

Em seguida, por precaução, desative o cabeçalho da autorização

 more_clear_input_headers Authorization;

Agora protegemos tudo com autorização

 auth_request /auth; location =/auth { internal; set_decode_base64 $auth_decode $cookie_auth; #    set_decrypt_session $auth_decrypt $auth_decode; #    if ($auth_decrypt = "") { return 401 UNAUTHORIZED; } #    ,      more_set_input_headers "Authorization: Basic $auth_decrypt"; #    basic (   $remote_user) echo -n OK; #   }

Para usuários autorizados, mostramos o conteúdo da pasta

 location / { alias html/$remote_user/; }

E, na falta de autorização, redirecionamos para o serviço central de autorização

 error_page 401 = @error401; location @error401 { set_escape_uri $request_uri_escape $request_uri; #   set_escape_uri $service_escape $scheme://$server_name:$server_port/login?request_uri=$request_uri_escape; #       return 303 https://$cas/service?service=$service_escape; #     ,  $cas -    }

Após uma autorização bem-sucedida, o serviço de autorização central nos redireciona para o especificado

 location =/login { eval $auth { #      (    ) proxy_set_header X-Real-IP $remote_addr; #    proxy_pass $scheme://$cas:$server_port/serviceValidate?token=$arg_token; #   } if ($auth = "") { return 401 UNAUTHORIZED; } #    ,      encrypted_session_expires 43200; #     12  (12 * 60 * 60 = 43200) set_encrypt_session $auth_encrypt $auth; #  - set_encode_base64 $auth_encode $auth_encrypt; #   add_header Set-Cookie "Auth=$auth_encode; Max-Age=43200"; #      12  (12 * 60 * 60 = 43200) set $arg_request_uri_or_slash $arg_request_uri; #     set_if_empty $arg_request_uri_or_slash "/"; #    ,   set_unescape_uri $request_uri_unescape $arg_request_uri_or_slash; #   return 303 $request_uri_unescape; #     }

Source: https://habr.com/ru/post/pt456634/

More articles:


All Articles