使用auth_request做权限控制

原创 已于 2022-01-19 16:55:54 修改 · 4.8k 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#nginx #auth_request #动态参数

于 2022-01-19 16:42:02 首次发布
本文介绍如何使用Nginx进行图片权限校验,重点在于通过URL参数而非请求头传递验证信息,确保图片直接展示时的安全性。

网上很多如标题的文章,为何我还要写呢???

网上一搜一大堆对我来说完全没用的文章,或者直接nginx官网复制过来,看得我贼无语。我的需求是校验参数是拼接到链接后面,而不是请求头的,网上大部分都是通过请求头来获取校验参数。

开启auth_request

下载nginx.tar.gz包,编译时把auth_request加入到nginx中,不用下载其它(1.5.4以上,默认包含auth_request,需要编译的时候开启),Windows版本可以直接用。

编译代码如下:

# 进入到解压文件内
./configure --prefix=你需要安装的目录 --with-http_auth_request_module && make && make install

配置校验参数

location ~^/api/image/(.*)$ {
	# 转发URL地址
	# minio服务器
	auth_request /auth;
    # 校验地址,并附上校验参数
	set $auth_request_uri "http://192.168.40.14:8080/image/auth?$query_string";
	error_page 401 403 500 = /authError.png;
	
	auth_request_set $user $upstream_http_x_forwarded_user;
	proxy_set_header X-Forwarded-User $user;
	
	proxy_pass http://minio地址:9000/$1;
	autoindex 	on;
}

location /auth {
    # 内部调用
	internal;
	
	proxy_set_header Host $host;
	proxy_pass_request_body off;
	proxy_set_header Content-Length "";
	proxy_pass $auth_request_uri;
}

location /authError.png {
	root   html;
}

 灵魂代码!灵魂代码!灵魂代码!

set $auth_request_uri "http://192.168.40.14:8080/image/auth?$query_string";

我的项目需求是对图片做权限校验,图片展示是直接在img标签里面展示的,因此,没法做请求头的设置,需要在链接后面携带校验信息。如:http://127.0.0.1/api/image/123.jpg?token=xxx

这时候校验信息,而网上大部分是没有这段代码的`set $auth_request_uri "http://192.168.40.14:8080/image/auth?$query_string";` 导致参数无法传递到校验地址(如果是设置请求头里的,可以获取到)。

校验成功就将127.0.0.1/api/image/123.jpg?token=xxx转发到 minio地址:9000/123.jpg

校验失败后台设置响应状态401或403,将转发到authError.png这张图片上。

逸丶时光
关注
Nginx | auth_request 模块,实现模块灵活、强大且解耦的认证授权机制
WeiyiGeek 唯一极客IT知识分享
10-14 365
它的核心思想是:在处理一个原始请求(A)之前,先发起一个子请求(B)到指定的内部接口进行认证,并根据子请求的返回结果来决定是继续处理原始请求,还是拒绝它。总结:auth_request 模块提供了灵活的外部认证机制,主要应用于需要统一用户鉴权系统的场景,提供灵活、安全的访问控制机制,适合生产环境中复杂的权限验证需求。• 步骤 02.发起子请求,内容与原请求相同,向认证服务发送一个新的请求,转发原始请求的认证相关信息。• 步骤 01.拦截原始请求,暂停处理用户的原始请求,保存原始请求的相关信息。
Nginx auth_request 模块详解:原理与配置指南
2401_89221867的博客
02-14 1247
在 Web 应用中,用户认证是一个核心问题。Nginx 作为高性能的反向代理服务器,本身并不具备用户认证能力,但可以通过。为了提升用户体验,可以自定义 401 和 403 页面,让用户明确知道认证失败的原因。模块将认证交给外部服务处理。本文将详细介绍 Nginx 的认证机制和。模块的工作原理,帮助你理解和配置灵活的认证方案。
Nginx auth_request详解
zzhongcy的专栏
11-29 1954
return 401;这个server块模拟了一个简单的认证服务,它监听127.0.0.1:8080,根据请求头Authorization判断用户是否经过认证。在实际应用中,这个应该是一个调用外部服务的代理配置。
07_Nginx_auth_request模块
田一一
03-16 8477
07_Nginx_auth_request模块1. auth_request模块是什么2. auth_request模块的用途3. auth_request的启用4. auth_request的官方示例 1. auth_request模块是什么 ngx_http_auth_request_module模块(1.5.4+)实现了基于一子请求的结果的客户端的授权。如果子请求返回2xx响应码,则允许访问。如果它返回401或403,则访问被拒绝并显示相应的错误代码。子请求返回的任何其他响应代码都被认为是错误的。 a
Nginxauth_request 模块详解与应用指南
你知道莽村的莽怎么来的吗!
05-25 3640
对于Web开发者来说,Nginx是一个强大且灵活的Web服务器和反向代理服务器。其模块化设计让我们可以根据需求定制Nginx的功能。在安全性和访问控制方面,Nginxauth_request模块是一个非常有用的工具。本文将详细介绍auth_request模块的用途、使用场景,并通过示例代码来说明其具体应用。auth_request 模块是Nginx的一个官方模块,用于在处理客户端请求时,将这些请求传递给一个外部的认证服务进行认证。
推荐开源项目:auth-request——基于HAProxy的灵活访问控制增强器
gitblog_00717的博客
08-28 385
推荐开源项目:auth-request——基于HAProxy的灵活访问控制增强器 项目介绍 auth-request是一个巧妙设计的Lua脚本,旨在为HTTP服务添加基于子请求的身份验证控制。该项目灵感来源于nginx的ngx_http_auth_request_module,专为HAProxy量身打造。通过它,开发者可以实现更细致和动态的访问权限管理,提升服务的安全性与灵活性。 技术剖析 a...
Nginx: 配置项之access模块、auth_basic模块、auth_request模块
Wang的专栏
08-23 1632
curl curl http://192.168.184.20:8080/auth.html -I 返回。curl http://192.168.184.20:8080/auth.html 返回结果如下。3 )生成密码文件工具。
23_access 阶段 auth_request
AntHub的博客
10-02 1121
23_access 阶段 auth_request
nginx 学习笔记(三) auth_request 和 access_by_lua 授权
u011196623的专栏
08-06 3565
开发十年,就只剩下这套Java开发体系了 >>>    ...
nginx使用第三方权限控制auth_request模块
error311的博客
06-20 2965
auth_request模块 原理: 收到请求后生成子请求,通过反向代理技术把请求传递给上游服务 功能: 向上游的服务转发请求,若上游服务返回的状态码是2xx,则继续执行,若上游服务返回的是401或403,则将响应返回给客户端。 默认不编辑进nginx模块 --with-http_auth_request_module 1.auth_request uri | off 默认:auth_request off; 放置位置:http,server,location 2.aut...
Nginxauth_request模块的应用
u012024132的专栏
08-20 498
Nginxauth_request模块通过子请求实现动态鉴权,支持JWT验证、API鉴权等场景。模块需编译启用,配置时需指定鉴权子请求路径并处理返回状态码(2xx通过,其他拒绝)。高级功能包括传递鉴权结果、自定义错误响应。典型应用于API网关、动态ACL等,需注意性能影响和敏感信息保护。该模块为请求认证提供了灵活的外部集成方案。
Nginx使用auth_request_module模块实现对js资源的拦截(可传变量请求参数)
gpdsjqws的博客
04-16 1700
业务场景: 静态资源服务器有一部分js不允许直接http://host:port/xxxx.js访问,需要进行一层后端验证,期望是http://host:port/xxxx.js/key访问原来的静态资源服务器,这个key可以被后端验证, 如果验证成功,则成功访问资源,如果验证失败,就返回 403. 解决方案: 使用nginx对资源一层拦截,不带验证参数key访问的时候,或者携带验证参数但是验证失败的时候,返回403,验证通过则...
Nginx】基于http响应状态码权限控制auth_request模块
姜太小白的博客
09-09 2385
安装auth_request模块(默认并未编译进Nginx,通过--with-http-auth-request-module启用) cd nginx-1.8.0 ./configure \ --prefix=/usr/local/nginx \ --pid-path=/var/run/nginx/nginx.pid \ --lock-path=/var/lock/nginx.lock \ --error-log-path=/var/log/nginx/error.log \ --http-log-pa
Nginxauth_request使用,JWT结合cookie实现多系统统一认证,多系统身份统一认证,潘多拉部署解决
weixin_45885574的博客
06-12 1975
Nginxauth_request使用,JWT结合cookie实现多系统统一认证,多系统身份统一认证,潘多拉部署解决
解读nginx第三方模块ngx_http_auth_request_module
热门推荐
时间是把杀刀猪
04-26 1万+
nginx强大的可扩展性和可定制性不仅保证自己的许多功能模块化,而且也催生许多优秀的第三方模块,本文要介绍的ngx_http_auth_request_module就是其中之一。 这个模块可以实现基于服务器内部子请求的返回结果来控制用户鉴权。比如子请求返回4xx则提示说没有权限,如果是2xx则会返回资源给客户端,返回401错误则把子请求的鉴权头透传给客户端。这样通过服务器内部逻辑就可以控制鉴权,
开启您的服务安全新纪元:`auth-request` —— 您的HAProxy守护神
gitblog_00023的博客
06-13 382
???? 开启您的服务安全新纪元:auth-request —— 您的HAProxy守护神???? 在当今互联网环境中,确保网络服务的安全性至关重要。无论是企业内部应用还是面向公众的服务,都需要一种高效而灵活的方式来进行访问控制。今天,我要向大家推荐一款强大的开源工具——auth-request,它将为您的HTTP服务带来前所未有的安全性与灵活性。 ???? 项目简介 auth-request是一款基于Lua脚本开...
requests的auth参数
u的博客
12-08 1502
http的authrequests的auth参数。python3的requests库的auth参数。其中的auth可以直接拼接在url里。
NGINX基于子请求结果的身份验证
运维狗的备忘录
02-07 2557
文章目录介绍先决条件配置NGINXNGINX Plus完整的例子 介绍 NGINXNGINX Plus可以通过外部服务器或服务验证每个对您网站的请求。为了执行身份验证,NGINX向验证子请求的外部服务器发出HTTP子请求。如果子请求返回2xx响应代码,则允许访问;如果子请求返回401或403,则拒绝访问。此类身份验证允许实现各种身份验证方案,例如多因素身份验证,或者允许实现LDAP或OAuth...
httpd日志error_log日志报You must load mod_request to enable the mod_auth_form functions
最新发布
09-22
<think> 我们正在处理一个关于Apache HTTP服务器错误的问题。错误信息是:“You must load mod_request to enable the mod_auth_form functions”。这告诉我们,在使用`mod_auth_form`功能之前,需要先加载`mod_request`模块。 根据引用[1]提供的信息,我们知道: - Apache的主配置文件是`/etc/httpd/conf/httpd.conf` - SSL模块的配置文件在`/etc/httpd/conf.modules.d/ssl.conf` - 日志文件位于`/var/log/httpd/error_log`和`/var/log/httpd/ssl_error_log` 由于错误信息出现在`error_log`中,我们推断问题出在配置上。 解决思路: 1. 确保`mod_request`模块已加载。 2. 检查`mod_auth_form`的配置是否正确,因为它依赖于`mod_request`。 在Apache中,模块的加载通常使用`LoadModule`指令。因此,我们需要在配置文件中加载`mod_request`模块。 具体步骤: 1. 打开Apache的主配置文件(可能是`httpd.conf`)或者配置目录下(如`conf.modules.d`)的相关文件。 2. 查找是否已经加载了`mod_request`模块。如果没有,添加一行:`LoadModule request_module modules/mod_request.so`(注意模块名称可能因操作系统和Apache版本而异,但通常为`mod_request.so`)。 3. 保存配置文件并重启Apache服务。 另外,根据错误信息,可能是配置中启用了`mod_auth_form`的功能(比如使用了`AuthFormProvider`等指令)但没有加载`mod_request`模块。 注意:在修改配置文件之前,建议备份。 根据引用[2]和[3]的内容,它们提到了在Windows环境下使用mod_wsgi配置Python应用,但我们的问题是在Linux环境(因为引用[1]提到了yum安装和/etc/httpd路径),所以主要参考引用[1]的路径信息。不过,模块加载的原理是相同的。 因此,解决方法如下: 1. 编辑Apache配置文件(如`/etc/httpd/conf/httpd.conf`),在加载模块的区域添加: ``` LoadModule request_module modules/mod_request.so ``` 注意:模块文件的实际路径可能因安装方式不同而略有差异,但通常为`modules/mod_request.so`。 2. 如果配置文件中已经存在该行,但被注释掉了,则取消注释(去掉行首的`#`)。 3. 保存文件并重启Apache服务: ```bash sudo systemctl restart httpd ``` 4. 检查错误日志,看错误是否消失。 如果问题依旧,请确认模块文件`mod_request.so`确实存在于模块目录(通常是`/etc/httpd/modules/`,该目录实际上是`/usr/lib64/httpd/modules/`的符号链接)。可以使用以下命令查找: ```bash find / -name mod_request.so ``` 如果找不到该模块,可能需要安装包含该模块的包。在基于RPM的系统(如CentOS)中,可以使用: ```bash yum install mod_request ``` 或者(根据不同的系统,包名可能不同): ```bash yum install httpd-mod_request ``` 注意:实际包名可能因发行版和版本而异。如果上述包不存在,可以尝试搜索: ```bash yum search mod_request ``` 此外,引用[4]是关于PHP常量的,与当前问题无关。 总结步骤: - 加载模块:在配置文件中添加`LoadModule request_module modules/mod_request.so` - 如果模块不存在,安装相应的包 - 重启Apache 相关问题: 1. 如何查看Apache已加载的模块? 2. 除了`mod_request`,`mod_auth_form`还需要依赖其他模块吗? 3. Apache模块加载失败的其他常见原因有哪些? </think> ### 解决httpd日志报“You must load mod_request to enable the mod_auth_form functions”错误的方法 此错误表明Apache服务器需要加载`mod_request`模块以支持`mod_auth_form`的功能。以下是完整解决步骤: #### 1. **加载`mod_request`模块** 在Apache配置文件(根据引用[1]路径为`/etc/httpd/conf/httpd.conf`)中添加: ```apache LoadModule request_module modules/mod_request.so ``` **位置建议**:放在其他`LoadModule`指令附近(通常在文件顶部) #### 2. **验证模块有效性** 终端执行: ```bash httpd -M | grep request_module ``` 若输出`request_module (shared)`表示加载成功;若无输出需检查模块路径: ```bash find / -name mod_request.so 2>/dev/null ``` #### 3. **重启Apache服务** ```bash systemctl restart httpd ``` #### 4. **模块不存在时的解决方案** **安装`mod_request`**: ```bash yum install mod_request -y # RHEL/CentOS apt install libapache2-mod-request # Ubuntu/Debian ``` #### 5. **故障排查** - **路径错误**:若模块路径不匹配,修正`LoadModule`中的路径 - **依赖缺失**:确保已安装`mod_request`依赖包 - **权限问题**:检查`mod_request.so`文件权限为644 - **语法验证**:运行`httpd -t`检查配置文件语法 #### 6. **日志验证** 重启后检查错误日志(引用[1]路径`/var/log/httpd/error_log`): ```bash tail -f /var/log/httpd/error_log ``` 错误应消失,出现`mod_request`初始化成功消息 > **原理说明**:`mod_auth_form`提供表单认证功能,需依赖`mod_request`处理HTTP请求数据[^1]。未加载依赖模块时触发此错误。
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值