Để chuẩn bị ủy quyền với hình ảnh xác thực, chúng tôi cần và các plugin của nó , , , , , , , . (Tôi đã cung cấp liên kết tới các nhánh của mình vì tôi đã thực hiện một số thay đổi chưa được đẩy vào kho ban đầu. Bạn cũng có thể sử dụng .)
Để bắt đầu, hãy thiết lập
encrypted_session_key "abcdefghijklmnopqrstuvwxyz123456";Tiếp theo, để đề phòng, hãy tắt tiêu đề ủy quyền
more_clear_input_headers Authorization;Bây giờ chúng tôi bảo vệ mọi thứ bằng sự cho phép
auth_request /auth;
location =/auth {
internal;
subrequest_access_phase on; # разрешаем авторизационную фазу в подзапросе
auth_request off; # не использовать авторизацию
set_decode_base64 $auth_decode $cookie_auth; # раскодируем авторизационную куку
set_decrypt_session $auth_decrypt $auth_decode; # расшифровываем авторизационную куку
if ($auth_decrypt = "") { return 401 UNAUTHORIZED; } # если не удалось расшифровать, то значит пользователь не авторизован
more_set_input_headers "Authorization: Basic $auth_decrypt"; # подменить авторизацию на basic (чтобы использовать переменную $remote_user)
auth_basic_ldap_realm Auth; # включаем ldap авторизацию
auth_basic_ldap_url ldap://ldap.server.com; # задаём адрес
auth_basic_ldap_bind_dn dn.server.com; # задаём постфикс
echo -n OK; # пользователь авторизован
}Đối với người dùng được ủy quyền, chúng tôi hiển thị nội dung từ thư mục của họ
location / {
alias html/$remote_user/;
}Và nếu không có ủy quyền, chúng tôi sẽ hiển thị biểu mẫu ủy quyền có hình ảnh xác thực
error_page 401 = @error401;
location @error401 {
set_escape_uri $request_uri_escape $request_uri; # кодируем запрос
return 303 /login?request_uri=$request_uri_escape; # перенаправляем на авторизационную форму с капчей, сохранив запрос
}
location =/login {
default_type "text/html; charset=utf-8"; # задаём тип
if ($request_method = GET) { # если только показать авторизационную форму с капчей
template login.html.ct2; # задаём шаблон
ctpp2 on; # включаем шаблонизатор
set_secure_random_alphanum $csrf_random 32; # задаём случайное csrf
encrypted_session_expires 300; # задаём время жизни csrf 5 минут (5 * 60 = 300)
set_encrypt_session $csrf_encrypt $csrf_random; # зашифровываем случайное csrf
set_encode_base64 $csrf_encode $csrf_encrypt; # кодируем зашифрованное csrf
add_header Set-Cookie "CSRF=$csrf_encode; Max-Age=300"; # помещаем зашифрованное csrf в куку на 5 минут (5 * 60 = 300)
return 200 "{"csrf":"$csrf_random"}"; # возвращаем json для шаблонизатора
} # иначе - обработать авторизационную форму с капчей
set_form_input $csrf_form csrf; # получаем csrf из формы
set_unescape_uri $csrf_unescape $csrf_form; # раскодируем csrf из формы
set_decode_base64 $csrf_decode $cookie_csrf; # раскодируем csrf из куки
set_decrypt_session $csrf_decrypt $csrf_decode; # расшифровываем csrf из куки
if ($csrf_decrypt != $csrf_unescape) { return 303 $request_uri; } # если csrf из формы не совпадает с csrf из куки, то перенаправить на показ формы снова
set_form_input $captcha_form captcha; # получаем капчу из формы
set_unescape_uri $captcha_unescape $captcha_form; # раскодируем капчу из формы
set_md5 $captcha_md5 "secret${captcha_unescape}${csrf_decrypt}"; # считаем md5
if ($captcha_md5 != $cookie_captcha) { return 303 $request_uri; } # если md5 не совпадает с капчей из куки, то перенаправить на показ формы снова
set_form_input $username_form username; # получаем логин из формы
set_form_input $password_form password; # получаем пароль из формы
set_unescape_uri $username_unescape $username_form; # раскодируем логин из формы
set_unescape_uri $password_unescape $password_form; # раскодируем пароль из формы
encrypted_session_expires 2592000; # задаём время жизни сессии 30 дней (30 * 24 * 60 * 60 = 2592000)
set $username_password "$username_unescape:$password_unescape"; # задаём basic авторизацию
set_encode_base64 $username_password_encode $username_password; # кодируем basic авторизацию
set_encrypt_session $auth_encrypt $username_password_encode; # зашифровываем basic авторизацию
set_encode_base64 $auth_encode $auth_encrypt; # кодируем зашифрованную basic авторизацию
add_header Set-Cookie "Auth=$auth_encode; Max-Age=2592000"; # помещаем зашифрованную basic авторизацию в авторизационную куку на 30 дней (30 * 24 * 60 * 60 = 2592000)
set $arg_request_uri_or_slash $arg_request_uri; # копируем запрос из аргумента
set_if_empty $arg_request_uri_or_slash "/"; # если аргумент не задан, то начало
set_unescape_uri $request_uri_unescape $arg_request_uri_or_slash; # раскодируем запрос
return 303 $request_uri_unescape; # перенаправляем на сохранённый запрос
}đăng nhập.html
<html>
<body>
<form method="post">
<input type="hidden" name="csrf" value="<TMPL_var csrf>" />
username: <input type="text" name="username" placeholder="Enter User Name..." /><br />
password: <input type="password" name="password" /><br />
captcha: <img src="/captcha?csrf=<TMPL_var csrf>"/><input type="text" name="captcha" autocomplete="off" /><br />
<input type="submit" name="submit" value="submit" />
</form>
</body>
</html>Nguồn: www.habr.com