過(guò)去兩天里���,我解決了一個(gè)非常有趣的問(wèn)題。我用一個(gè)nginx服務(wù)器作為代理����,需要能夠向其中添加一個(gè)認(rèn)證層,使其能夠使用外部的認(rèn)證源(比如某個(gè)web應(yīng)用)來(lái)進(jìn)行驗(yàn)證����,如果用戶在外部認(rèn)證源有賬號(hào),就可以在代理里認(rèn)證通過(guò)����。
需求一覽
我考慮了幾種解決方案,羅列如下:
- 用一個(gè)簡(jiǎn)單的Python/Flask模塊來(lái)做代理和驗(yàn)證�����。
- 一個(gè)使用subrequests做驗(yàn)證的nginx模塊(nginx目前可以做到這一點(diǎn))
- 使用Lua編寫(xiě)一個(gè)nginxren認(rèn)證模塊
很顯然�����,給整個(gè)系統(tǒng)添加額外請(qǐng)求將執(zhí)行的不是很好���,因?yàn)檫@將會(huì)增加延遲(特別是給每一個(gè)頁(yè)面文件都增加一個(gè)請(qǐng)求是很讓人煩惱的).這就意味著我們把subrequest模塊排除在外了����。Python/Flash解決方案好像對(duì)nginx支持的也并不好,所以咱也把它排除了�。就剩Lua了,當(dāng)然nginx對(duì)原生化支持得不錯(cuò)的���。
因?yàn)槲也幌朐贁U(kuò)展的服務(wù)器上對(duì)每一個(gè)請(qǐng)求都做認(rèn)證���,所以我決定生成一些令牌,這樣人們就可以將它保存起來(lái)��,并把它呈現(xiàn)給服務(wù)器����,然后服務(wù)器就讓請(qǐng)求通過(guò)。然而��,因?yàn)長(zhǎng)ua模塊沒(méi)有一種保持狀態(tài)的方式(我已經(jīng)發(fā)現(xiàn))����,所以我們不能將令牌隨處存儲(chǔ)。當(dāng)你沒(méi)有更多的內(nèi)存時(shí),怎樣來(lái)驗(yàn)證用戶所說(shuō)的話呢����?
解決問(wèn)題
加密簽名的方式可是咱的救星!我們可以拿用戶的用戶名和過(guò)期時(shí)間數(shù)據(jù)來(lái)給用戶添加簽名的cookies��,這樣就能很容易的驗(yàn)證每個(gè)用戶是誰(shuí)了��,同時(shí)我們就不用令牌了��。
在nginx中����,我們要做的就是直接在指定位置配置access_by_lua_file /our/file.lua�,這樣這個(gè)指定位置就可以保護(hù)我們的腳本了。現(xiàn)在�����,讓我們一起來(lái)寫(xiě)代碼:
復(fù)制代碼 代碼如下:
-- Some variable declarations.
local cookie = ngx.var.cookie_MyToken
local hmac = ""
local timestamp = ""
local timestamp_time = 0
-- Check that the cookie exists.
if cookie == nil or cookie:find(":") == nil then
-- Internally rewrite the URL so that we serve
-- /auth/ if there's no cookie.
ngx.exec("/auth/")
else
-- If there's a cookie, split off the HMAC signature
-- and timestamp.
local divider = cookie:find(":")
hmac = cookie:sub(divider+1)
timestamp = cookie:sub(0, divider-1)
end
-- Verify that the signature is valid.
if hmac_sha1("some very secret string", timestamp) ~= hmac or tonumber(timestamp) os.time() then
-- If invalid, send to /auth/ again.
ngx.exec("/auth/")
end
上面的代碼可以直接運(yùn)行����。我們用一些明文來(lái)簽名(這種情況下用的是一個(gè)時(shí)間戳,當(dāng)然你可以用任何你想用的),之后我們用密文生成HMAC(哈希信息認(rèn)證碼)��,然后一個(gè)簽名就生成了,這樣用戶就不能篡改為無(wú)效信息了�����。
當(dāng)用戶試圖載入一個(gè)資源的時(shí)候����,我們會(huì)檢查cookie里面的簽名是否有效,如果是�����,就通過(guò)他的請(qǐng)求��。反之����,我們會(huì)把他們重定向到一個(gè)發(fā)行口令的服務(wù)器�����,這個(gè)服務(wù)器會(huì)驗(yàn)證并且在沒(méi)有的情況下給予他們一個(gè)簽名的口令��。
明銳的你可能會(huì)發(fā)現(xiàn)����,上面的代碼存在時(shí)間上的漏洞���。如果你沒(méi)有發(fā)現(xiàn),別難過(guò)���。嗯���,也許會(huì)有點(diǎn)難過(guò)。
這里是一段Lua的代碼��,用來(lái)比較兩個(gè)字符串在恒定時(shí)間上的等值關(guān)系(因而能夠阻止任何時(shí)間上的攻擊����,除非我忽視了什么�����,這極為可能):
復(fù)制代碼 代碼如下:
function compare_strings(str1, str2)
-- Constant-time string comparison function.
local same = true
for i = 1, #str1 do
-- If the two strings' lengths are different, sub()
-- will just return nil for the remaining length.
c1 = str1:sub(i,i)
c2 = str2:sub(i,i)
if c1 ~= c2 then
same = false
end
end
return same
end
我已經(jīng)在函數(shù)上應(yīng)用了時(shí)間來(lái)區(qū)分�,如我所知,這是一個(gè)在恒定時(shí)間下的等值字符串����。不同長(zhǎng)度的字符串會(huì)稍稍改變時(shí)間��,也許是因?yàn)樽舆^(guò)程sub應(yīng)用了一個(gè)不同的分支而導(dǎo)致的���。而且,c1~=c2分支顯然不是恒定時(shí)間的�,但是在實(shí)際中,它相當(dāng)接近恒定����,所以于我們的例子不會(huì)有影響。我更傾向于使用XOR操作�����,從而確定兩個(gè)字符串的XOR結(jié)果是否為0, 不過(guò)Lua似乎不包括二進(jìn)制位的XOR操作��。如果我在這個(gè)判斷上有誤���,對(duì)于任何糾正我都很感激����。
口令發(fā)行服務(wù)器
現(xiàn)在��,我們已經(jīng)寫(xiě)了一些很棒的口令檢查代碼��,所有需要做的,只是寫(xiě)一個(gè)服務(wù)器來(lái)真正的發(fā)行這些口令��。我本可以用Python以及Flask來(lái)寫(xiě)這個(gè)服務(wù)器����,不過(guò)我還是想用Go做一個(gè)嘗試,因?yàn)槲沂且粋€(gè)計(jì)算機(jī)語(yǔ)言潮人而且Go看上去“酷”����。使用Python大概會(huì)快一些,不過(guò)我樂(lè)意用Go���。
這個(gè)服務(wù)器會(huì)彈出一個(gè)HTTP基礎(chǔ)驗(yàn)證的表單�,檢查你輸入的帳戶����,如果正確����,它會(huì)給你一個(gè)簽名的口令,適合于一個(gè)小時(shí)的代理服務(wù)器訪問(wèn)��。這樣��,你只需要驗(yàn)證外部服務(wù)一次,而隨后的身份驗(yàn)證的檢查將在nginx層面����,而且會(huì)相當(dāng)?shù)目臁?/p>
請(qǐng)求處理器
寫(xiě)一個(gè)處理器,來(lái)彈出一個(gè)基本的驗(yàn)證窗體不是很難�����,但是Go沒(méi)有完美的文檔����,所以我必須自己一點(diǎn)點(diǎn)尋獵����。其實(shí)非常簡(jiǎn)單,最終�,這里就是HTTP基本驗(yàn)證的Go代碼:
復(fù)制代碼 代碼如下:
func handler(w http.ResponseWriter, r *http.Request) {
if username := checkAuth(r); username == "" {
w.Header().Set("WWW-Authenticate", `Basic realm="The kingdom of Stavros"`)
w.WriteHeader(401)
w.Write([]byte("401 Unauthorized\n"))
} else {
fmt.Printf("Authenticated user %v.\n", username)
token := getToken()
setTokenCookie(w, token)
fmt.Fprintf(w, "html>head>script>location.reload()/script>/head>/html>")
}
}
設(shè)置口令和cookie
一旦我們驗(yàn)證了一個(gè)用戶之后,我們需要給他們的口令設(shè)置一個(gè)cookie���。我門(mén)只需要做我們用Lua做過(guò)的同樣的事情,如上�����,只是更加簡(jiǎn)單,因?yàn)镚o在標(biāo)準(zhǔn)庫(kù)里面就包括一個(gè)真加密包����。這個(gè)代碼一樣很直接明了,即使沒(méi)有完全文檔化:
復(fù)制代碼 代碼如下:
func getToken() string {
expiration := int(time.Now().Unix()) + 3600
mac := hmac.New(sha1.New, []byte("some very secret string"))
mac.Write([]byte(fmt.Sprintf("%v", expiration)))
expectedMAC := fmt.Sprintf("%x", mac.Sum(nil))
return fmt.Sprintf("%v:%s", expiration, expectedMAC)
}
func setTokenCookie(w http.ResponseWriter, token string) {
rawCookie := fmt.Sprintf("MyToken=%s", token)
expire := time.Now().Add(time.Hour)
cookie := http.Cookie{"MyToken",
token,
"/",
".example.com",
expire,
expire.Format(time.UnixDate),
3600,
false,
true,
rawCookie,
[]string{rawCookie}}
http.SetCookie(w, cookie)
}
嘗試把他們放在一起
來(lái)完成我們這一大段美妙的組合�����,我們只需要一個(gè)函數(shù)�����,用來(lái)檢查由用戶提供的驗(yàn)證信息��,而且我們做到了�!這里是我從一些庫(kù)里面汲取出來(lái)的代碼��,當(dāng)前它只是檢查一個(gè)特定的用戶名/密碼的組合�,所以和第三方的服務(wù)的集成就做為留給讀者的作業(yè)吧:
復(fù)制代碼 代碼如下:
func checkAuth(r *http.Request) string {
s := strings.SplitN(r.Header.Get("Authorization"), " ", 2)
if len(s) != 2 || s[0] != "Basic" {
return ""
}
b, err := base64.StdEncoding.DecodeString(s[1])
if err != nil {
return ""
}
pair := strings.SplitN(string(b), ":", 2)
if len(pair) != 2 {
return ""
}
if pair[0] != "username" || pair[1] != "password" {
return ""
}
return pair[0]
}
結(jié)論
我到目前對(duì)于nginx的Lua模塊還是有著相當(dāng)?shù)南矚g。它允許你在web服務(wù)器的請(qǐng)求/響應(yīng)周期里面做一些簡(jiǎn)單的操作�����,而且對(duì)于某些操作�,比如為代理服務(wù)器做驗(yàn)證的檢查��,是很有意義的����。這些事情對(duì)于一個(gè)不可編程的web服務(wù)器,一直很難���,因此我們極可能需要寫(xiě)自己的HTTP代理服務(wù)。
上面的代碼相當(dāng)?shù)暮?jiǎn)短����,而且優(yōu)雅���,所以我對(duì)于上面的所有都感到高興����。我不能確定��,這對(duì)于響應(yīng)添加了多少額外的時(shí)間���,不過(guò)���,做一個(gè)驗(yàn)證是有好處的,我想這將值得去做(而且應(yīng)該足夠快���,所以不是一個(gè)問(wèn)題)。
另一個(gè)好處就是���,你可以僅使用一個(gè)在nginxlocationblock里面的單獨(dú)的directive來(lái)開(kāi)啟它�,所以沒(méi)有需要跟蹤的配置項(xiàng)��。我發(fā)現(xiàn)����,總體而言,這是一個(gè)非常優(yōu)雅的解決方案����,而且我很高興的了解到nginx可以讓我去做這樣的事情,可能是將來(lái)我需要去做的���。
您可能感興趣的文章:- Nginx中配置用戶服務(wù)器訪問(wèn)認(rèn)證的方法示例
- Nginx中的用戶認(rèn)證配置及阻止用戶使用代理訪問(wèn)的方法
- Nginx服務(wù)器中為網(wǎng)站或目錄添加認(rèn)證密碼的配置詳解
- Nginx單向認(rèn)證的安裝配置方法
- Nginx用戶認(rèn)證配置方法詳解(域名/目錄)
- nginx,apache的alias和認(rèn)證功能
- Nginx上配置Basic Authorization登錄認(rèn)服務(wù)證的教程
