Dea*_*gor 5 r nginx shiny shiny-server
我已经成功地为我的闪亮服务器实现了一个 nginx 反向代理,以便进行 SSL 和用户身份验证。但是,仍然有一个我无法弄清楚的差距。我闪亮的应用程序有没有办法确定哪个用户实际登录了?
这是我的 /etc/nginx/sites-available/default
server {
listen 80;
return 301 https://$host$request_uri;
}
server {
listen 443;
server_name myserver.com;
ssl_certificate /etc/nginx/cert.crt;
ssl_certificate_key /etc/nginx/cert.key;
ssl on;
ssl_session_cache builtin:1000 shared:SSL:10m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers HIGH:!aNULL:!eNULL:!EXPORT:!CAMELLIA:!DES:!MD5:!PSK:!RC4;
ssl_prefer_server_ciphers on;
access_log /var/log/nginx/shiny.log;
location / {
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
# Fix the “It appears that your reverse proxy set up is broken" error.
proxy_pass http://localhost:3838;
proxy_read_timeout 90;
proxy_redirect http://localhost:3838 https://myserver.com;
auth_basic "Restricted";
auth_basic_user_file /etc/nginx/.htpasswd;
proxy_set_header Authorization $http_authorization;
proxy_pass_header Authorization;
}
}
在我的位置的最后两行中,我希望有一个包含用户名的标题。我在这里找到了那个提示。我发现这可以让我看到我的标题信息,但我看到的标题都不是我的用户名。
编辑:
通过 Bert Neef 的引用,我明白了为什么上述方法不起作用。但是,服务器确实可以访问跨会话唯一的 HTTP_SEC_WEBSOCKET_KEY 标头。似乎如果我们可以让 Nginx 记录该值,那么服务器可以查看该代码以将标头与实际用户相匹配。话虽如此,我不知道这是否可行,也不知道如何让 Nginx 记录该值。
根据Shiny Docs,这只是 Shiny Server Professional 功能,您需要使用 Whitelist_headers 指令来获取这些标头:
4.9 代理标头 通常,发送到 Shiny Server 的 HTTP 标头不会转发到底层 Shiny 应用程序。但是,Shiny Server Professional 能够使用whitelist_headers配置指令将指定的标头转发到Shiny 应用程序中,该指令可以全局设置,也可以针对特定服务器或位置进行设置。
更新:刚刚在非专业闪亮服务器安装中测试了白名单标头选项,并且我无法显示自定义标头。我确实通过使用 netcat 向我显示传入数据(nc -l 8080 以及对 nginx.conf 文件中 proxy_pass 的快速更改)来验证 nginx 发送的标头。
更新2:无法让NGINX记录HTTP_SEC_WEBSOCKET_KEY标头(授权标头在日志规范中指定后被记录)并且我在nginx和Shiny Server之间的流量中看不到它,我认为它要么归结为获取 Shiny Server Professional 或修改闪亮的源代码以将授权标头传递给应用程序。