Ji bo amadekirina destûrnameyê bi captcha, em ê hewce ne û pêvekên wê , , , , , , , . (Min lînkên forkên xwe pêşkêş kirin, ji ber ku min hin guhertinên ku hêj di depoyên orîjînal de nehatine avêtin kirin. Hûn jî dikarin bikar bînin .)
Ji bo destpêkê, em destnîşan bikin
encrypted_session_key "abcdefghijklmnopqrstuvwxyz123456";Dûv re, tenê di rewşê de, sernavê destûrnameyê neçalak bike
more_clear_input_headers Authorization;Niha em bi destûr her tiştî diparêzin
auth_request /auth;
location =/auth {
internal;
subrequest_access_phase on; # разрешаем авторизационную фазу в подзапросе
auth_request off; # не использовать авторизацию
set_decode_base64 $auth_decode $cookie_auth; # раскодируем авторизационную куку
set_decrypt_session $auth_decrypt $auth_decode; # расшифровываем авторизационную куку
if ($auth_decrypt = "") { return 401 UNAUTHORIZED; } # если не удалось расшифровать, то значит пользователь не авторизован
more_set_input_headers "Authorization: Basic $auth_decrypt"; # подменить авторизацию на basic (чтобы использовать переменную $remote_user)
auth_basic_user_file /data/nginx/.htaccess; # задаём файл basic авторизации
auth_basic Auth; # включаем basic авторизацию
echo -n OK; # пользователь авторизован
}Ji bo bikarhênerên destûrdar em naverokê ji peldanka wan nîşan didin
location / {
alias html/$remote_user/;
}Û heke destûr tune be, em formek destûrnameyê bi captcha nîşan didin
error_page 401 = @error401;
location @error401 {
set_escape_uri $request_uri_escape $request_uri; # кодируем запрос
return 303 /login?request_uri=$request_uri_escape; # перенаправляем на авторизационную форму с капчей, сохранив запрос
}
location =/login {
default_type "text/html; charset=utf-8"; # задаём тип
if ($request_method = GET) { # если только показать авторизационную форму с капчей
template login.html.ct2; # задаём шаблон
ctpp2 on; # включаем шаблонизатор
set_secure_random_alphanum $csrf_random 32; # задаём случайное csrf
encrypted_session_expires 300; # задаём время жизни csrf 5 минут (5 * 60 = 300)
set_encrypt_session $csrf_encrypt $csrf_random; # зашифровываем случайное csrf
set_encode_base64 $csrf_encode $csrf_encrypt; # кодируем зашифрованное csrf
add_header Set-Cookie "CSRF=$csrf_encode; Max-Age=300"; # помещаем зашифрованное csrf в куку на 5 минут (5 * 60 = 300)
return 200 "{"csrf":"$csrf_random"}"; # возвращаем json для шаблонизатора
} # иначе - обработать авторизационную форму с капчей
set_form_input $csrf_form csrf; # получаем csrf из формы
set_unescape_uri $csrf_unescape $csrf_form; # раскодируем csrf из формы
set_decode_base64 $csrf_decode $cookie_csrf; # раскодируем csrf из куки
set_decrypt_session $csrf_decrypt $csrf_decode; # расшифровываем csrf из куки
if ($csrf_decrypt != $csrf_unescape) { return 303 $request_uri; } # если csrf из формы не совпадает с csrf из куки, то перенаправить на показ формы снова
set_form_input $captcha_form captcha; # получаем капчу из формы
set_unescape_uri $captcha_unescape $captcha_form; # раскодируем капчу из формы
set_md5 $captcha_md5 "secret${captcha_unescape}${csrf_decrypt}"; # считаем md5
if ($captcha_md5 != $cookie_captcha) { return 303 $request_uri; } # если md5 не совпадает с капчей из куки, то перенаправить на показ формы снова
set_form_input $username_form username; # получаем логин из формы
set_form_input $password_form password; # получаем пароль из формы
set_unescape_uri $username_unescape $username_form; # раскодируем логин из формы
set_unescape_uri $password_unescape $password_form; # раскодируем пароль из формы
encrypted_session_expires 2592000; # задаём время жизни сессии 30 дней (30 * 24 * 60 * 60 = 2592000)
set $username_password "$username_unescape:$password_unescape"; # задаём basic авторизацию
set_encode_base64 $username_password_encode $username_password; # кодируем basic авторизацию
set_encrypt_session $auth_encrypt $username_password_encode; # зашифровываем basic авторизацию
set_encode_base64 $auth_encode $auth_encrypt; # кодируем зашифрованную basic авторизацию
add_header Set-Cookie "Auth=$auth_encode; Max-Age=2592000"; # помещаем зашифрованную basic авторизацию в авторизационную куку на 30 дней (30 * 24 * 60 * 60 = 2592000)
set $arg_request_uri_or_slash $arg_request_uri; # копируем запрос из аргумента
set_if_empty $arg_request_uri_or_slash "/"; # если аргумент не задан, то начало
set_unescape_uri $request_uri_unescape $arg_request_uri_or_slash; # раскодируем запрос
return 303 $request_uri_unescape; # перенаправляем на сохранённый запрос
}login.html
<html>
<body>
<form method="post">
<input type="hidden" name="csrf" value="<TMPL_var csrf>" />
username: <input type="text" name="username" placeholder="Enter User Name..." /><br />
password: <input type="password" name="password" /><br />
captcha: <img src="/captcha?csrf=<TMPL_var csrf>"/><input type="text" name="captcha" autocomplete="off" /><br />
<input type="submit" name="submit" value="submit" />
</form>
</body>
</html>Source: www.habr.com