Om tariede autorisaasje mei captcha, wy moatte en syn plugins , , , , , , , . (Ik joech keppelings nei myn foarken, om't ik wat wizigingen makke dy't noch net yn 'e orizjinele repositories binne stjoerd. Jo kinne ek brûke .)
Om te begjinnen, litte wy ynstelle
encrypted_session_key "abcdefghijklmnopqrstuvwxyz123456";Folgjende, foar it gefal, útskeakelje de autorisaasjekoptekst
more_clear_input_headers Authorization;No beskermje wy alles mei autorisaasje
auth_request /auth;
location =/auth {
internal;
subrequest_access_phase on; # разрешаем авторизационную фазу в подзапросе
auth_request off; # не использовать авторизацию
set_decode_base64 $auth_decode $cookie_auth; # раскодируем авторизационную куку
set_decrypt_session $auth_decrypt $auth_decode; # расшифровываем авторизационную куку
if ($auth_decrypt = "") { return 401 UNAUTHORIZED; } # если не удалось расшифровать, то значит пользователь не авторизован
more_set_input_headers "Authorization: Basic $auth_decrypt"; # подменить авторизацию на basic (чтобы использовать переменную $remote_user)
auth_basic_ldap_realm Auth; # включаем ldap авторизацию
auth_basic_ldap_url ldap://ldap.server.com; # задаём адрес
auth_basic_ldap_bind_dn dn.server.com; # задаём постфикс
echo -n OK; # пользователь авторизован
}Foar autorisearre brûkers litte wy ynhâld sjen út har map
location / {
alias html/$remote_user/;
}En as der gjin autorisaasje is, litte wy in autorisaasjeformulier sjen mei in captcha
error_page 401 = @error401;
location @error401 {
set_escape_uri $request_uri_escape $request_uri; # кодируем запрос
return 303 /login?request_uri=$request_uri_escape; # перенаправляем на авторизационную форму с капчей, сохранив запрос
}
location =/login {
default_type "text/html; charset=utf-8"; # задаём тип
if ($request_method = GET) { # если только показать авторизационную форму с капчей
template login.html.ct2; # задаём шаблон
ctpp2 on; # включаем шаблонизатор
set_secure_random_alphanum $csrf_random 32; # задаём случайное csrf
encrypted_session_expires 300; # задаём время жизни csrf 5 минут (5 * 60 = 300)
set_encrypt_session $csrf_encrypt $csrf_random; # зашифровываем случайное csrf
set_encode_base64 $csrf_encode $csrf_encrypt; # кодируем зашифрованное csrf
add_header Set-Cookie "CSRF=$csrf_encode; Max-Age=300"; # помещаем зашифрованное csrf в куку на 5 минут (5 * 60 = 300)
return 200 "{"csrf":"$csrf_random"}"; # возвращаем json для шаблонизатора
} # иначе - обработать авторизационную форму с капчей
set_form_input $csrf_form csrf; # получаем csrf из формы
set_unescape_uri $csrf_unescape $csrf_form; # раскодируем csrf из формы
set_decode_base64 $csrf_decode $cookie_csrf; # раскодируем csrf из куки
set_decrypt_session $csrf_decrypt $csrf_decode; # расшифровываем csrf из куки
if ($csrf_decrypt != $csrf_unescape) { return 303 $request_uri; } # если csrf из формы не совпадает с csrf из куки, то перенаправить на показ формы снова
set_form_input $captcha_form captcha; # получаем капчу из формы
set_unescape_uri $captcha_unescape $captcha_form; # раскодируем капчу из формы
set_md5 $captcha_md5 "secret${captcha_unescape}${csrf_decrypt}"; # считаем md5
if ($captcha_md5 != $cookie_captcha) { return 303 $request_uri; } # если md5 не совпадает с капчей из куки, то перенаправить на показ формы снова
set_form_input $username_form username; # получаем логин из формы
set_form_input $password_form password; # получаем пароль из формы
set_unescape_uri $username_unescape $username_form; # раскодируем логин из формы
set_unescape_uri $password_unescape $password_form; # раскодируем пароль из формы
encrypted_session_expires 2592000; # задаём время жизни сессии 30 дней (30 * 24 * 60 * 60 = 2592000)
set $username_password "$username_unescape:$password_unescape"; # задаём basic авторизацию
set_encode_base64 $username_password_encode $username_password; # кодируем basic авторизацию
set_encrypt_session $auth_encrypt $username_password_encode; # зашифровываем basic авторизацию
set_encode_base64 $auth_encode $auth_encrypt; # кодируем зашифрованную basic авторизацию
add_header Set-Cookie "Auth=$auth_encode; Max-Age=2592000"; # помещаем зашифрованную basic авторизацию в авторизационную куку на 30 дней (30 * 24 * 60 * 60 = 2592000)
set $arg_request_uri_or_slash $arg_request_uri; # копируем запрос из аргумента
set_if_empty $arg_request_uri_or_slash "/"; # если аргумент не задан, то начало
set_unescape_uri $request_uri_unescape $arg_request_uri_or_slash; # раскодируем запрос
return 303 $request_uri_unescape; # перенаправляем на сохранённый запрос
}login.html
<html>
<body>
<form method="post">
<input type="hidden" name="csrf" value="<TMPL_var csrf>" />
username: <input type="text" name="username" placeholder="Enter User Name..." /><br />
password: <input type="password" name="password" /><br />
captcha: <img src="/captcha?csrf=<TMPL_var csrf>"/><input type="text" name="captcha" autocomplete="off" /><br />
<input type="submit" name="submit" value="submit" />
</form>
</body>
</html>Boarne: www.habr.com