nginx-reverse-proxy - 是否可以用 OpenResty 在 Nginx Stream 前面实现 OIDC?
问题描述
我想知道是否可以在 NGINX 流配置中使用 OpenResty OIDC 模块作为身份验证代理。
(不幸的是,我无法访问 NGINX Plus)
我过去曾使用 NGINX 和 Stream 配置来代理对上游 tcp 资源的访问,它就像一个魅力。
我目前正在考虑在各种资源(静态 html 和动态应用程序)前实现 OIDC 代理,因为我们有一个内部 OIDC IDAM 提供程序。我遇到了 OpenResty,尤其是 lua-resty-oidc 模块,感谢一些精彩的指南,(https://medium.com/@technospace/nginx-as-an-openid-connect-rp-with-wso2 -identity-server-part-1-b9a63f9bef0a,https://developers.redhat.com/blog/2018/10/08/configuring-nginx-keycloak-oauth-oidc/),我很快就得到了这个静态工作页面,使用 http 服务器 nginx 配置。
我无法让它适用于流配置。看起来流模块已作为 OpenResty 的标准启用,但通过挖掘,我认为流上下文中不允许使用 'access_by_lua_block' 函数。
这可能根本不被支持,这在乞求别人的伟大工作时是公平的,但我想知道将来是否有打算在 OpenResty / lua-resty-oidc 中包含支持,或者是否有人知道一个好的解决方法.
这是我让它工作的天真的尝试,但服务器在运行时抱怨“access_by_lua_block”命令。
2019/08/22 08:20:44 [emerg] 1#1: "access_by_lua_block" directive is not allowed here in /usr/local/openresty/nginx/conf/nginx.conf:49
nginx: [emerg] "access_by_lua_block" directive is not allowed here in /usr/local/openresty/nginx/conf/nginx.conf:49
events {
worker_connections 1024;
}
stream {
lua_package_path "/usr/local/openresty/?.lua;;";
resolver 168.63.129.16;
lua_ssl_trusted_certificate /etc/ssl/certs/ca-certificates.crt;
lua_ssl_verify_depth 5;
# cache for discovery metadata documents
lua_shared_dict discovery 1m;
# cache for JWKs
lua_shared_dict jwks 1m;
upstream geyser {
server geyser-api.com:3838;
}
server {
listen 443 ssl;
ssl_certificate /usr/local/openresty/nginx/ssl/nginx.crt;
ssl_certificate_key /usr/local/openresty/nginx/ssl/nginx.key;
access_by_lua_block {
local opts = {
redirect_uri_path = "/redirect_uri",
discovery = "https://oidc.provider/discovery",
client_id = "XXXXXXXXXXX",
client_secret = "XXXXXXXXXXX",
ssl_verify = "no",
scope = "openid",
redirect_uri_scheme = "https",
}
local res, err = require("resty.openidc").authenticate(opts)
if err then
ngx.status = 500
ngx.say(err)
ngx.exit(ngx.HTTP_INTERNAL_SERVER_ERROR)
end
ngx.req.set_header("X-USER", res.id_token.sub)
}
proxy_pass geyser;
}
}
有人有什么建议吗?
解决方案
我不认为这是可能的。
但是可以肯定的是,您应该尝试在官方 github 上创建问题
https://github.com/zmartzone/lua-resty-openidc/issues
他们之前帮助我解决了类似的问题
推荐阅读
- python - 如何使用 Python 模块上传大文件
- c++ - 在 C++ 中定义类的先决条件
- javascript - 使用节点js在对象中设置单个值
- reactjs - 未处理的拒绝(TypeError):无法读取 null 的属性“id”
- tensorflow - 如何检查张量是张量流中的单个值?
- windows - Windows 环境变量在 cmd 中不起作用
- snowflake-cloud-data-platform - 如何在 BitBucket 的 Snowflake 中做数据库变更管理系统?来自 BitBucket 的 Snowflake 中的 DEV/QA/UAT/PROD 环境的 DDL 版本控制?
- timer - ARM 编程 - GD32F1x0 库
- android - 我可以使用 Android Telegram API 添加 user_id 吗?
- javascript - 未定义不是对象(评估'_ref.navigation')React-native导航错误