那些遇到过的问题

传递来自 auth_request 的标头

Bac*_*ash 7 nginx

我有一个授权模块,每当向私有端点发出请求时都会调用该模块。

该模块从Authorization标头中解析令牌,并且:

  1. 如果无效,则返回 401
  2. 如果有效,则返回 200
  3. 如果它有效但即将在 X 分钟后到期,它会生成一个新令牌并在Authorization标头中返回该令牌。

“profile”是私有端点之一,它的配置方式如下:

location /profile {
  auth_request /jwtverify;

  auth_request_set  $authorization $upstream_http_authorization;
  proxy_set_header  authorization $authorization;
  proxy_pass        http://private-profile:80;
}
Run Code Online (Sandbox Code Playgroud)

jwtverify 是这样配置的:

location = /jwtverify {
  internal;
  proxy_pass              http://auth-module:8080/auth/verify;
  proxy_pass_request_body off;
  proxy_set_header        Content-Length "";
  proxy_set_header        X-Original-URI $request_uri;
  auth_request_set        $http_authorization $upstream_http_authorization;
}
Run Code Online (Sandbox Code Playgroud)

现在,除了要求号外,一切正常。3:如果auth模块设置了Authorizationheader,客户端永远不会收到它。

流程应该是这样的:

  • 客户端发出请求
  • auth-module 拦截请求,如果有效,代理将其传递给私有服务
  • 发送响应时,auth-module应保留由 设置的标头并发送给客户端

我想我没有正确理解如何组合auth_request_set, proxy_set_header, auth_request_set,也可能是它们不适合这种情况。

有没有办法在 NGINX 中实现这一点?

Bac*_*ash 10

好的,我能够在headers_more模块的帮助下做到这一点。

完整配置为:

location = /jwtverify {
  internal;
  proxy_pass              http://auth-module:8080/auth/verify;
  proxy_pass_request_body off;
  proxy_set_header        Content-Length "";
  proxy_set_header        X-Original-URI $request_uri;
}

location /profile {
  auth_request /jwtverify;

  # this gets called right after auth_request returns.
  # it reads http "authorization" header from upstream (= auth_request)
  # and sets it to the variable $auth_header
  # /sf/answers/2203989021/
  auth_request_set $auth_header $upstream_http_authorization;

  # this gets called right before sending response to client.
  # it adds the previously set variable (= "authorization" 
  # header from auth_request) to the response
  more_set_headers "Authorization: $auth_header";

  proxy_pass        http://private-profile:80;
}
Run Code Online (Sandbox Code Playgroud)

Joh*_*uiz 8

这就是我在没有自定义模块的情况下解决这个问题的方法:

location /auth {
  internal;
  proxy_pass http://localhost:3000/auth;
  proxy_pass_request_body off;
  proxy_set_header Content-Length "";
  proxy_set_header X-Original-URI $request_uri;
  proxy_set_header X-Original-Remote-Addr $remote_addr;
  proxy_set_header X-Original-Host $host;
}

location /protected {
  auth_request /auth;
  auth_request_set $authentication_id $sent_http_x_authentication_id;
  proxy_pass http://localhost:3000/protected;
  proxy_set_header X-Original-URI $request_uri;
  proxy_set_header X-Original-Remote-Addr $remote_addr;
  proxy_set_header X-Original-Host $host;
  proxy_set_header X-Authentication-Id: $authentication_id;
}
Run Code Online (Sandbox Code Playgroud)
  1. 让您的/auth端点包含响应标头。矿井套X-Authentication-Id
  2. 用于auth_request_set根据响应标头设置变量
  3. 使用变量将标头设置为/protected请求的一部分

归档时间:

查看次数:

7695 次

最近记录:

4 年,2 月 前
相关归档
读取上游时权限被拒绝 44
nginx:如何从 nginx(不是我的应用程序)跟踪随机 500。可能与负载有关? 9
Nginx 将产品从旧类别简单重定向到新类别 9
是否有 nginx 配置的编程接口? 8
从上游读取响应标头时上游过早关闭连接 502 Bad GateWay 6
VirtualBox 和 Windows 10:无法连接到 VirtualBox 上托管的服务器 6
如何使用php-fastcgi删除nginx中的“Client-Peer”(等)标头 5
nginx + fcgiwrap:fastcgi_param 的顺序怎么这么重要? 5
为什么 nginx 不喜欢我的 $args? 4
在 port_in_redirect: off 之后 NGINX 重定向到 HTTP 3
难疑归档
您如何找到在 Windows 中打开文件的进程? 588
在大型技术会议上提供可靠的互联网接入和 Wi-Fi 有哪些障碍? 279
删除 8 GB RAM 机器上的页面文件有什么好处或坏处? 218
如何在 bash 中创建 UUID? 185
使用 -X 进行 ssh 连接时,“警告:不受信任的 X11 转发设置失败:未生成 xauth 密钥数据”是什么意思? 164
为从 nginx 提供的静态内容设置过期标头 112
为什么我有 uWSGI 还需要 nginx 75
如何让Apache2重定向到子目录 73
软(符号)链接和硬链接有什么区别? 60
如何使用 DNS/主机名或其他方式解析特定 IP:Port 54