እኛ ዜሮቴክ እንዴት አፕል ሳፋሪን እና የደንበኛ ሰርተፊኬቶችን ከዌብሶኬቶች ጋር እንዳገናኘን።

ጽሑፉ ለሚከተለው ጠቃሚ ይሆናል-

• Client Cert ምን እንደሆነ ያውቃል እና ለምን በሞባይል Safari ላይ ዌብሶኬቶች እንደሚያስፈልገው ይገነዘባል;
• የድር አገልግሎቶችን ለተወሰነ የሰዎች ክበብ ወይም ለራሴ ብቻ ማተም እፈልጋለሁ።
• ሁሉም ነገር አስቀድሞ በአንድ ሰው እንደተሰራ ያስባል እና ዓለምን ትንሽ የበለጠ ምቹ እና ደህንነቱ የተጠበቀ ለማድረግ ይፈልጋል።

የዌብሶኬቶች ታሪክ የጀመረው ከ 8 ዓመታት በፊት ነው. ከዚህ ቀደም ዘዴዎች በረጅም http ጥያቄዎች መልክ ጥቅም ላይ ውለው ነበር (በእውነቱ ምላሾች): የተጠቃሚው አሳሽ ወደ አገልጋዩ ጥያቄ ልኮ አንድ ነገር እንዲመልስ ጠበቀው, ከመልሱ በኋላ እንደገና ተገናኝቶ ጠበቀ. ግን ከዚያ በኋላ ዌብሶኬቶች ታዩ።



ከጥቂት አመታት በፊት፣ ይህ የማገናኛ ንብርብር ስለሆነ የ https ጥያቄዎችን መጠቀም በማይችለው የራሳችንን ትግበራ በንጹህ ፒኤችፒ አዘጋጅተናል። ብዙም ሳይቆይ፣ ሁሉም ማለት ይቻላል የድር አገልጋዮች በ https ላይ የተኪ ጥያቄዎችን እና የድጋፍ ግንኙነትን: ማሻሻልን ተምረዋል።

ይህ በሚሆንበት ጊዜ ዌብሶኬቶች ለ SPA አፕሊኬሽኖች ነባሪ አገልግሎት ሆነዋል ፣ ምክንያቱም በአገልጋዩ ተነሳሽነት ይዘትን ለተጠቃሚው ለማቅረብ ምን ያህል ምቹ ነው (ከሌላ ተጠቃሚ መልእክት ማስተላለፍ ወይም አዲስ የምስል ፣ የሰነድ ፣ የዝግጅት አቀራረብ ስሪት ያውርዱ) ሌላ ሰው በአሁኑ ጊዜ አርትዖት እያደረገ ነው) .

ምንም እንኳን የደንበኛ ሰርተፊኬት ለረጅም ጊዜ የቆየ ቢሆንም፣ እሱን ለማለፍ ብዙ ችግሮችን ስለሚፈጥር አሁንም በጥሩ ሁኔታ አልተደገፈም። እና (ምናልባትም :slightly_smiling_face:) ለዚህ ነው IOS አሳሾች (ከሳፋሪ በስተቀር) ሊጠቀሙበት የማይፈልጉት እና ከአካባቢው የምስክር ወረቀት ማከማቻ ይጠይቁት። የምስክር ወረቀቶች ከመግቢያ/ማለፊያ ወይም ssh ቁልፎች ወይም አስፈላጊ የሆኑትን ወደቦች በፋየርዎል ከመዝጋት ጋር ሲነፃፀሩ ብዙ ጥቅሞች አሏቸው። ነገር ግን ይህ ስለ እሱ አይደለም.

በ iOS ላይ የምስክር ወረቀት የመጫን ሂደቱ በጣም ቀላል ነው (ያለ ዝርዝር መግለጫዎች አይደለም), ነገር ግን በአጠቃላይ በመመሪያው መሰረት ይከናወናል, ከእነዚህ ውስጥ ብዙ በይነመረብ ላይ እና ለሳፋሪ አሳሽ ብቻ የሚገኙ ናቸው. እንደ አለመታደል ሆኖ ሳፋሪ Client Cert ን ለድር ሶኬቶች እንዴት እንደሚጠቀሙ አያውቅም ፣ ግን በበይነመረብ ላይ እንደዚህ ያለ የምስክር ወረቀት እንዴት መፍጠር እንደሚችሉ ብዙ መመሪያዎች አሉ ፣ ግን በተግባር ይህ ሊደረስበት የማይችል ነው።

ዌብሶኬቶችን ለመረዳት የሚከተለውን እቅድ ተጠቀምን። ችግር / መላምት / መፍትሄ.

ችግር: በSafari ሞባይል አሳሽ ለአይኦኤስ እና ሌሎች የእውቅና ማረጋገጫ ድጋፍ ላደረጉ አፕሊኬሽኖች በደንበኛ ሰርተፊኬት ለተጠበቁ ግብአቶች ጥያቄን ሲሰጡ ለድር ሶኬቶች ምንም ድጋፍ የለም።

መላምቶች፡-

1. ሰርተፊኬቶችን (ምንም እንደማይኖር በማወቅ) የውስጥ/ውጫዊ ተኪ ሃብቶች ዌብሶኬቶችን ለመጠቀም እንዲህ ያለውን ልዩ ሁኔታ ማዋቀር ይቻላል።
2. ለዌብሶኬቶች በመደበኛ (የዌብሶኬት ያልሆነ) አሳሽ በሚጠይቁ ጊዜ የሚፈጠሩ ጊዜያዊ ክፍለ ጊዜዎችን በመጠቀም ልዩ፣ ደህንነቱ የተጠበቀ እና ተከላካይ ግንኙነት መፍጠር ይችላሉ።
3. ጊዜያዊ ክፍለ ጊዜዎች አንድ ተኪ የድር አገልጋይ (አብሮገነብ ሞጁሎች እና ተግባራት ብቻ) በመጠቀም መተግበር ይችላሉ።
4. ጊዜያዊ የክፍለ ጊዜ ቶከኖች እንደ ዝግጁ-የተሰሩ Apache ሞጁሎች ተተግብረዋል።
5. የግንኙነቱን መዋቅር አመክንዮ በመንደፍ ጊዜያዊ የክፍለ ጊዜ ቶከኖች ሊተገበሩ ይችላሉ።

ከትግበራ በኋላ የሚታይ ሁኔታ.

የሥራው ዓላማ; የአገልግሎቶች እና መሠረተ ልማት አስተዳደር ከሞባይል ስልክ በ IOS ያለ ተጨማሪ ፕሮግራሞች (እንደ ቪፒኤን ያሉ) ፣ የተዋሃዱ እና ደህንነቱ የተጠበቀ መሆን አለባቸው።

ተጨማሪ ግብ፡ ጊዜን እና ሀብቶችን/የስልክ ትራፊክን መቆጠብ (አንዳንድ የዌብ ሶኬቶች የሌላቸው አገልግሎቶች አላስፈላጊ ጥያቄዎችን ያመነጫሉ) በተንቀሳቃሽ ስልክ በይነመረብ ላይ ይዘትን በፍጥነት በማድረስ።

እንዴት ማረጋገጥ?

1. የመክፈቻ ገጾች:

— например, https://teamcity.yourdomain.com в мобильном браузере Safari (доступен также в десктопной версии) — вызывает успешное подключение к веб-сокетам.
— например, https://teamcity.yourdomain.com/admin/admin.html?item=diagnostics&tab=webS…— показывает ping/pong.
— например, https://rancher.yourdomain.com/p/c-84bnv:p-vkszd/workload/deployment:danidb:ph…-> viewlogs — показывает логи контейнера.

2. ወይም በገንቢ ኮንሶል ውስጥ፡-

የመላምት ሙከራ፡-

1. የምስክር ወረቀቶችን ለመጠቀም (ምንም እንደማይኖር በማወቅ) የውስጥ / የውጭ ፕሮክሲድ ሀብቶችን ወደ ዌብ ሶኬቶች ለመጠቀም እንዲህ ያለውን ልዩ ሁኔታ ማዋቀር ይቻላል.

2 መፍትሄዎች እዚህ ተገኝተዋል:

ሀ) በደረጃ

<Location sock*> SSLVerifyClient optional </Location>
<Location /> SSLVerifyClient require </Location>

የመዳረሻ ደረጃን ይቀይሩ.

ይህ ዘዴ የሚከተሉትን ጥቃቅን ነገሮች አሉት.

• የምስክር ወረቀት ማረጋገጥ የሚከሰተው ለተኪው ምንጭ ከተጠየቀ በኋላ ነው፣ ማለትም፣ የድህረ ጥያቄ እጅ መጨባበጥ። ይህ ማለት ፕሮክሲው መጀመሪያ ይጫናል እና ከዚያ ወደ የተጠበቀው አገልግሎት ጥያቄውን ያቋርጣል ማለት ነው። ይህ መጥፎ ነው, ነገር ግን ወሳኝ አይደለም;
• በ http2 ፕሮቶኮል ውስጥ። አሁንም በረቂቅ ላይ ነው፣ እና የአሳሽ አምራቾች እንዴት እንደሚተገብሩት አያውቁም #መረጃ ስለ tls1.3 http2 ፖስት መጨባበጥ (አሁን እየሰራ አይደለም) RFC 8740ን ተግብር "TLS 1.3 በ HTTP/2 በመጠቀም";
• ይህንን ሂደት እንዴት አንድ ማድረግ እንደሚቻል ግልጽ አይደለም.

ለ) በመሠረታዊ ደረጃ, ssl ያለ የምስክር ወረቀት ፍቀድ.

SSLVerifyClient ይጠይቃል => SSLVerifyClient አማራጭ ነው፣ነገር ግን ይህ የተኪ አገልጋዩን የደህንነት ደረጃ ይቀንሳል፣ይህ ዓይነቱ ግንኙነት ያለ ሰርተፊኬት ስለሚካሄድ ነው። ሆኖም፣ በሚከተለው መመሪያ ተጨማሪ የተኪ አገልግሎቶችን መዳረሻ መከልከል ትችላለህ፡-

RewriteEngine        on
RewriteCond     %{SSL:SSL_CLIENT_VERIFY} !=SUCCESS
RewriteRule     .? - [F]
ErrorDocument 403 "You need a client side certificate issued by CAcert to access this site"

ስለ ssl በሚለው ጽሑፍ ውስጥ የበለጠ ዝርዝር መረጃ ማግኘት ይቻላል- የ Apache አገልጋይ ደንበኛ የምስክር ወረቀት ማረጋገጫ

ሁለቱም አማራጮች ተፈትነዋል፣ አማራጭ "ለ" የተመረጠው ሁለገብነቱ እና ከ http2 ፕሮቶኮል ጋር ባለው ተኳሃኝነት ነው።

የዚህን መላምት ማረጋገጫ ለማጠናቀቅ፣ በማዋቀሩ ላይ ብዙ ሙከራዎችን ወስዷል፤ የሚከተሉት ንድፎች ተፈትነዋል፡-

ከሆነ = ተፈላጊ = እንደገና ይፃፉ

• Apache Core ባህሪያት
• በ Apache HTTP አገልጋይ ውስጥ ያሉ መግለጫዎች

ውጤቱም የሚከተለው መሰረታዊ ንድፍ ነው.

SSLVerifyClient optional
RewriteEngine on
RewriteCond %{SSL:SSL_CLIENT_VERIFY} !=SUCCESS
RewriteCond %{HTTP:Upgrade} !=websocket [NC]
RewriteRule     .? - [F]
#ErrorDocument 403 "You need a client side certificate issued by CAcert to access this site"

#websocket for safari without cert auth
<If "%{SSL:SSL_CLIENT_VERIFY} != 'SUCCESS'">
<If "%{HTTP:Upgrade} = 'websocket'">
...
    #замещаем авторизацию по владельцу сертификата на авторизацию по номеру протокола
    SSLUserName SSl_PROTOCOL
</If>
</If>

በእውቅና ማረጋገጫው ባለቤት ያለውን ፈቃድ ከግምት ውስጥ በማስገባት፣ ነገር ግን የጎደለ የምስክር ወረቀት ካለ፣ ከኤስኤስኤል_PROTOCOL ተለዋዋጭ (ከSSL_CLIENT_S_DN_CN ይልቅ)፣ በሰነዱ ውስጥ ያሉ ተጨማሪ ዝርዝሮችን፣ የሌለ የምስክር ወረቀት ባለቤት ማከል ነበረብኝ፡-

Apache Module mod_ssl

2. ለዌብሶኬቶች በመደበኛ (የዌብሶኬት ያልሆነ) አሳሽ በሚጠይቁ ጊዜ የሚፈጠሩ ጊዜያዊ ክፍለ ጊዜዎችን በመጠቀም ልዩ፣ ደህንነቱ የተጠበቀ እና የተጠበቀ ግንኙነት መፍጠር ይችላሉ።

በቀድሞው ልምድ ላይ በመመስረት በመደበኛ (የድር-ያልሆነ ሶኬት) ጥያቄ ጊዜ ለድር ሶኬት ግንኙነቶች ጊዜያዊ ምልክቶችን ለማዘጋጀት ውቅሩ ላይ ተጨማሪ ክፍል ማከል ያስፈልግዎታል።

#подготовка передача себе Сookie через пользовательский браузер
<If "%{SSL:SSL_CLIENT_VERIFY} = 'SUCCESS'">
<If "%{HTTP:Upgrade} != 'websocket'">
Header set Set-Cookie "websocket-allowed=true; path=/; Max-Age=100"
</If>
</If>

#проверка Cookie для установления веб-сокет соединения
<source lang="javascript">
<If "%{SSL:SSL_CLIENT_VERIFY} != 'SUCCESS'">
<If "%{HTTP:Upgrade} = 'websocket'">
#check for exists cookie

#get and check
SetEnvIf Cookie "websocket-allowed=(.*)" env-var-name=$1

#or rewrite rule
RewriteCond %{HTTP_COOKIE} !^.*mycookie.*$

#or if
<If "%{HTTP_COOKIE} =~ /(^|; )cookie-names*=s*some-val(;|$)/ >
</If

</If>
</If>

ሙከራው እንደሚሰራ አሳይቷል። በተጠቃሚው አሳሽ በኩል ኩኪዎችን ወደ እራስዎ ማስተላለፍ ይቻላል.

3. ጊዜያዊ ክፍለ ጊዜዎች አንድ ተኪ ዌብ አገልጋይ (አብሮገነብ ሞጁሎች እና ተግባራት ብቻ) በመጠቀም ሊተገበሩ ይችላሉ.

ቀደም ብለን እንዳየነው Apache ሁኔታዊ ግንባታዎችን እንዲፈጥሩ የሚያስችልዎ በጣም ብዙ ዋና ተግባራት አሉት። ነገር ግን፣ መረጃችን በተጠቃሚው አሳሽ ውስጥ እያለ ለመጠበቅ ዘዴ እንፈልጋለን፣ ስለዚህ ምን እና ለምን እንደምናከማች እና ምን አይነት አብሮ የተሰሩ ተግባራትን እንደምንጠቀም እንገልፃለን፡

• በቀላሉ ሊፈታ የማይችል ቶከን እንፈልጋለን።
• በውስጡ አብሮ የተሰራው ጊዜ ያለፈበት እና በአገልጋዩ ላይ ጊዜ ያለፈበትን የመፈተሽ ችሎታ ያለው ቶከን እንፈልጋለን።
• ከምስክር ወረቀቱ ባለቤት ጋር የሚገናኝ ቶከን እንፈልጋለን።

ይህ ማስመሰያውን ለማረጅ የሃሺንግ ተግባር፣ ጨው እና ቀን ያስፈልገዋል። በሰነዱ መሰረት በ Apache HTTP አገልጋይ ውስጥ ያሉ መግለጫዎች ሁሉንም ከሳጥኑ sha1 እና %{TIME} ውጭ አለን።

ውጤቱም ይህ ንድፍ ነበር-

#нет сертификата, и обращение к websocket
<If "%{SSL:SSL_CLIENT_VERIFY} != 'SUCCESS'">
<If "%{HTTP:Upgrade} = 'websocket'">
    SetEnvIf Cookie "zt-cert-sha1=([^;]+)" zt-cert-sha1=$1
    SetEnvIf Cookie "zt-cert-uid=([^;]+)" zt-cert-uid=$1
    SetEnvIf Cookie "zt-cert-date=([^;]+)" zt-cert-date=$1

#только так можно работать с переменными, полученными в env-ах в этот момент времени, более они нигде не доступны для функции хеширования (по отдельности можно, но не вместе, да и ещё с хешированием)
    <RequireAll>
        Require expr %{sha1:salt1%{env:zt-cert-date}salt3%{env:zt-cert-uid}salt2} == %{env:zt-cert-sha1}
        Require expr %{env:zt-cert-sha1} =~ /^.{40}$/
    </RequireAll>
</If>
</If>

#есть сертификат, запрашивается не websocket
<If "%{SSL:SSL_CLIENT_VERIFY} = 'SUCCESS'">
<If "%{HTTP:Upgrade} != 'websocket'">
    SetEnvIf Cookie "zt-cert-sha1=([^;]+)" HAVE_zt-cert-sha1=$1

    SetEnv zt_cert "path=/; HttpOnly;Secure;SameSite=Strict"
#Новые куки ставятся, если старых нет
    Header add Set-Cookie "expr=zt-cert-sha1=%{sha1:salt1%{TIME}salt3%{SSL_CLIENT_S_DN_CN}salt2};%{env:zt_cert}" env=!HAVE_zt-cert-sha1
    Header add Set-Cookie "expr=zt-cert-uid=%{SSL_CLIENT_S_DN_CN};%{env:zt_cert}" env=!HAVE_zt-cert-sha1
    Header add Set-Cookie "expr=zt-cert-date=%{TIME};%{env:zt_cert}" env=!HAVE_zt-cert-sha1
</If>
</If>

ግቡ ተሳክቷል, ነገር ግን በአገልጋይ ጊዜ ያለፈበት ጊዜ ችግሮች አሉ (አንድ አመት ኩኪን መጠቀም ይችላሉ), ይህ ማለት ቶከኖች ምንም እንኳን ለውስጣዊ አጠቃቀም ምንም እንኳን ደህንነታቸው የተጠበቀ ቢሆንም, ለኢንዱስትሪ (ጅምላ) አጠቃቀም ደህንነቱ ያልተጠበቀ ነው.

4. ጊዜያዊ የክፍለ ጊዜ ቶከኖች እንደ ዝግጁ-የተሰሩ Apache ሞጁሎች ተተግብረዋል።

ከቀዳሚው ድግግሞሽ አንድ ጉልህ ችግር ቀርቷል - ማስመሰያ እርጅናን መቆጣጠር አለመቻል።

በቃላት መሰረት ይህን የሚያደርግ ዝግጁ የሆነ ሞጁል እየፈለግን ነው፡ apache token json two factor auth

• በJSON ድር ቶከኖች ላይ የተመሠረተ ማስመሰያ በመጠቀም የደንበኛ ማረጋገጥ
• Apache ባለሁለት-ፋክተር (2FA) ማረጋገጫ
• ወደ Apache ባለሁለት ደረጃ ማረጋገጫን እንዴት ማከል እንደሚቻል
• ባለ ሁለት ደረጃ ማረጋገጫን በቀላል ሞጁል በመጫን ወደ Apache ምሳሌዎ ያምጡ

አዎ, ዝግጁ የሆኑ ሞጁሎች አሉ, ነገር ግን ሁሉም ከተወሰኑ ድርጊቶች ጋር የተሳሰሩ እና አንድ ክፍለ ጊዜ እና ተጨማሪ ኩኪዎችን በመጀመር መልክ ቅርሶች አሏቸው. ለተወሰነ ጊዜ አይደለም ማለት ነው።
ለመፈለግ አምስት ሰዓት ፈጅቶብናል፣ ይህም ተጨባጭ ውጤት አላስገኘም።

5. የግንኙነቶችን መዋቅር አመክንዮ በመንደፍ ጊዜያዊ የክፍለ ጊዜ ቶከኖች ሊተገበሩ ይችላሉ.

ዝግጁ የሆኑ ሞጁሎች በጣም ውስብስብ ናቸው, ምክንያቱም እኛ የምንፈልገው ሁለት ተግባራት ብቻ ነው.

ይህ በተባለው ጊዜ፣ የቀኑን ችግር የApache አብሮገነብ ተግባራት ከወደፊቱ ቀን ማመንጨትን የማይፈቅዱ መሆናቸው ነው፣ እና አብሮገነብ ተግባራት ጊዜ ያለፈበትን ጊዜ ሲፈትሹ ምንም የሂሳብ መደመር/መቀነስ የለም።

ማለትም፡ መጻፍ አይችሉም፡-

(%{env:zt-cert-date} + 30) > %{DATE}

ሁለት ቁጥሮችን ብቻ ማወዳደር ይችላሉ.

ለሳፋሪ ችግር መፍትሄ ፍለጋ ላይ ሳለሁ አንድ አስደሳች መጣጥፍ አገኘሁ፡- HomeAssistantን ከደንበኛ ሰርተፊኬቶች ጋር ማስጠበቅ (ከSafari/iOS ጋር ይሰራል)
እሱ በሉአ ለ Nginx ውስጥ ያለውን ኮድ ምሳሌ ይገልፃል ፣ እና እንደ ተለወጠ ፣ ቀደም ሲል የተተገበርነውን የውቅር ክፍል አመክንዮ በጣም ይደግማል ፣ የ hmac የጨው ዘዴን ለሃሽ ከመጠቀም በስተቀር () ይህ በ Apache ውስጥ አልተገኘም)።

ሉአ ግልጽ የሆነ አመክንዮ ያለው ቋንቋ እንደሆነ ግልጽ ሆነ፣ እና ለ Apache ቀላል ነገር ማድረግ ይቻላል፡-

• LuaHookAccessChecker መመሪያ
• UnsetEnv መመሪያ

ከ Nginx እና Apache ጋር ያለውን ልዩነት በማጥናት-

• ሞጁሎች_lua
• lua_load_resty_core

እና ከሉዋ ቋንቋ አምራች የሚገኙ ተግባራት፡-
22.1 - ቀን እና ሰዓት

ከአሁኑ ጋር ለማነፃፀር ከወደፊቱ ቀን ለመወሰን በትንሽ የሉዋ ፋይል ውስጥ env ተለዋዋጮችን የምናዘጋጅበት መንገድ አግኝተናል።

ቀላል የሉዋ ስክሪፕት ይህን ይመስላል፡-

require 'apache2'

function handler(r)
    local fmt = '%Y%m%d%H%M%S'
    local timeout = 3600 -- 1 hour

    r.notes['zt-cert-timeout'] = timeout
    r.notes['zt-cert-date-next'] = os.date(fmt,os.time()+timeout)
    r.notes['zt-cert-date-halfnext'] = os.date(fmt,os.time()+ (timeout/2))
    r.notes['zt-cert-date-now'] = os.date(fmt,os.time())

    return apache2.OK
end

እና የድሮው ኩኪ (ማስመሰያ) ከማብቃቱ በፊት ግማሽ ጊዜው ሲደርስ የኩኪዎችን ብዛት በማሻሻል እና ምልክቱን በመተካት ሁሉም ነገር በአጠቃላይ እንዴት እንደሚሰራ ይህ ነው ።

SSLVerifyClient optional

#LuaScope thread
#generate event variables zt-cert-date-next
LuaHookAccessChecker /usr/local/etc/apache24/sslincludes/websocket_token.lua handler early

#запрещаем без сертификата что-то ещё, кроме webscoket
RewriteEngine on
RewriteCond %{SSL:SSL_CLIENT_VERIFY} !=SUCCESS
RewriteCond %{HTTP:Upgrade} !=websocket [NC]
RewriteRule     .? - [F]
#ErrorDocument 403 "You need a client side certificate issued by CAcert to access this site"

#websocket for safari without certauth
<If "%{SSL:SSL_CLIENT_VERIFY} != 'SUCCESS'">
<If "%{HTTP:Upgrade} = 'websocket'">
    SetEnvIf Cookie "zt-cert=([^,;]+),([^,;]+),[^,;]+,([^,;]+)" zt-cert-sha1=$1 zt-cert-date=$2 zt-cert-uid=$3

    <RequireAll>
        Require expr %{sha1:salt1%{env:zt-cert-date}salt3%{env:zt-cert-uid}salt2} == %{env:zt-cert-sha1}
        Require expr %{env:zt-cert-sha1} =~ /^.{40}$/
        Require expr %{env:zt-cert-date} -ge %{env:zt-cert-date-now}
    </RequireAll>
   
    #замещаем авторизацию по владельцу сертификата на авторизацию по номеру протокола
    SSLUserName SSl_PROTOCOL
    SSLOptions -FakeBasicAuth
</If>
</If>

<If "%{SSL:SSL_CLIENT_VERIFY} = 'SUCCESS'">
<If "%{HTTP:Upgrade} != 'websocket'">
    SetEnvIf Cookie "zt-cert=([^,;]+),[^,;]+,([^,;]+)" HAVE_zt-cert-sha1=$1 HAVE_zt-cert-date-halfnow=$2
    SetEnvIfExpr "env('HAVE_zt-cert-date-halfnow') -ge %{TIME} && env('HAVE_zt-cert-sha1')=~/.{40}/" HAVE_zt-cert-sha1-found=1

    Define zt-cert "path=/;Max-Age=%{env:zt-cert-timeout};HttpOnly;Secure;SameSite=Strict"
    Define dates_user "%{env:zt-cert-date-next},%{env:zt-cert-date-halfnext},%{SSL_CLIENT_S_DN_CN}"
    Header set Set-Cookie "expr=zt-cert=%{sha1:salt1%{env:zt-cert-date-next}sal3%{SSL_CLIENT_S_DN_CN}salt2},${dates_user};${zt-cert}" env=!HAVE_zt-cert-sha1-found
</If>
</If>

SetEnvIfExpr "env('HAVE_zt-cert-date-halfnow') -ge %{TIME} && env('HAVE_zt-cert-sha1')=~/.{40}/" HAVE_zt-cert-sha1-found=1
работает,

а так работать не будет
SetEnvIfExpr "env('HAVE_zt-cert-date-halfnow') -ge  env('zt-cert-date-now') && env('HAVE_zt-cert-sha1')=~/.{40}/" HAVE_zt-cert-sha1-found=1 

ምክንያቱም LuaHookAccessChecker የሚነቃው በዚህ የNginx መረጃ መሰረት የመዳረሻ ፍተሻዎች ከተደረጉ በኋላ ብቻ ነው።

ወደ ምንጭ አገናኝ ምስል.

አንድ ተጨማሪ ነገር.

በአጠቃላይ ፣ መመሪያዎቹ በ Apache (ምናልባትም Nginx) ውቅር ውስጥ በምን አይነት ቅደም ተከተል እንደተፃፉ ምንም ለውጥ የለውም ፣ ምክንያቱም በመጨረሻ ሁሉም ነገር በተጠቃሚው የቀረበውን ጥያቄ ቅደም ተከተል ላይ በመመርኮዝ ይደረደራል ፣ ይህም ከሂደቱ እቅድ ጋር ይዛመዳል። የሉአ ስክሪፕቶች።

ማጠናቀቅ፡

ከትግበራ በኋላ የሚታይ ሁኔታ (ግብ)
የአገልግሎቶች እና መሠረተ ልማት አስተዳደር ያለ ተጨማሪ ፕሮግራሞች (ቪፒኤን) ፣ የተዋሃደ እና ደህንነቱ የተጠበቀ ከሞባይል ስልክ በ IOS ይገኛል።

ግቡ ተሳክቷል, የዌብ ሶኬቶች ይሠራሉ እና ከሰርቲፊኬት ያላነሰ የደህንነት ደረጃ አላቸው.

ምንጭ: hab.com