日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問(wèn)題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案
使用Lua編寫一個(gè)Nginx認(rèn)證模塊

過(guò)去兩天里,我解決了一個(gè)非常有趣的問(wèn)題。我用一個(gè)nginx服務(wù)器作為代理,需要能夠向其中添加一個(gè)認(rèn)證層,使其能夠使用外部的認(rèn)證源(比如某個(gè)web應(yīng)用)來(lái)進(jìn)行驗(yàn)證,如果用戶在外部認(rèn)證源有賬號(hào),就可以在代理里認(rèn)證通過(guò)。

成都創(chuàng)新互聯(lián)公司成立與2013年,先為宜秀等服務(wù)建站,宜秀等地企業(yè),進(jìn)行企業(yè)商務(wù)咨詢服務(wù)。為宜秀企業(yè)網(wǎng)站制作PC+手機(jī)+微官網(wǎng)三網(wǎng)同步一站式服務(wù)解決您的所有建站問(wèn)題。

需求一覽

我考慮了幾種解決方案,羅列如下:

  • 用一個(gè)簡(jiǎn)單的Python/Flask模塊來(lái)做代理和驗(yàn)證。
  • 一個(gè)使用subrequests做驗(yàn)證的nginx模塊(nginx目前可以做到這一點(diǎn))
  • 使用Lua編寫一個(gè)nginxren認(rèn)證模塊

很顯然,給整個(gè)系統(tǒng)添加額外請(qǐng)求將執(zhí)行的不是很好,因?yàn)檫@將會(huì)增加延遲(特別是給每一個(gè)頁(yè)面文件都增加一個(gè)請(qǐng)求是很讓人煩惱的).這就意味著我們把 subrequest模塊排除在外了。Python/Flash解決方案好像對(duì)nginx支持的也并不好,所以咱也把它排除了。就剩Lua了,當(dāng)然 nginx對(duì)原生化支持得不錯(cuò)的。

因?yàn)槲也幌朐贁U(kuò)展的服務(wù)器上對(duì)每一個(gè)請(qǐng)求都做認(rèn)證,所以我決定生成一些令牌,這樣人們就可以將它保存起來(lái),并把它呈現(xiàn)給服務(wù)器,然后服務(wù)器就讓請(qǐng)求通過(guò)。然而,因?yàn)長(zhǎng)ua模塊沒(méi)有一種保持狀態(tài)的方式(我已經(jīng)發(fā)現(xiàn)),所以我們不能將令牌隨處存儲(chǔ)。當(dāng)你沒(méi)有更多的內(nèi)存時(shí),怎樣來(lái)驗(yàn)證用戶所說(shuō)的話呢?

解決問(wèn)題

加密簽名的方式可是咱的救星!我們可以拿用戶的用戶名和過(guò)期時(shí)間數(shù)據(jù)來(lái)給用戶添加簽名的cookies,這樣就能很容易的驗(yàn)證每個(gè)用戶是誰(shuí)了,同時(shí)我們就不用令牌了。

在nginx中,我們要做的就是直接在指定位置配置access_by_lua_file /our/file.lua,這樣這個(gè)指定位置就可以保護(hù)我們的腳本了?,F(xiàn)在,讓我們一起來(lái)寫代碼:

 
 
 
    
  
  
  
  1. -- Some variable declarations. 
    2. 
  
  
  
  2. local cookie = ngx.var.cookie_MyToken 
    3. 
  
  
  
  3. local hmac = "" 
    4. 
  
  
  
  4. local timestamp = "" 
    5. 
  
  
  
  5. local timestamp_time = 0
    6. 
  
  
  
  6. 
  
  
  
  7. -- Check that the cookie exists. 
    8. 
  
  
  
  8. if cookie == nil or cookie:find(":") == nil then 
    9. 
  
  
  
  9.     -- Internally rewrite the URL so that we serve 
    10. 
  
  
  
  10.     -- /auth/ if there's no cookie. 
    11. 
  
  
  
  11.     ngx.exec("/auth/") 
    12. 
  
  
  
  12. else
    13. 
  
  
  
  13.     -- If there's a cookie, split off the HMAC signature 
    14. 
  
  
  
  14.     -- and timestamp. 
    15. 
  
  
  
  15.     local divider = cookie:find(":") 
    16. 
  
  
  
  16.     hmac = cookie:sub(divider+1) 
    17. 
  
  
  
  17.     timestamp = cookie:sub(0, divider-1) 
    18. 
  
  
  
  18. end 
    19. 
  
  
  
  19. 
  
  
  
  20. -- Verify that the signature is valid. 
    21. 
  
  
  
  21. if hmac_sha1("some very secret string", timestamp) ~= hmac or tonumber(timestamp) < os.time() then 
    22. 
  
  
  
  22.     -- If invalid, send to /auth/ again. 
    23. 
  
  
  
  23.     ngx.exec("/auth/") 
    24. 
  
  
  
  24. end
    25.

上面的代碼可以直接運(yùn)行。我們用一些明文來(lái)簽名(這種情況下用的是一個(gè)時(shí)間戳,當(dāng)然你可以用任何你想用的),之后我們用密文生成HMAC(哈希信息認(rèn)證碼),然后一個(gè)簽名就生成了,這樣用戶就不能篡改為無(wú)效信息了。

當(dāng)用戶試圖載入一個(gè)資源的時(shí)候,我們會(huì)檢查cookie里面的簽名是否有效,如果是,就通過(guò)他的請(qǐng)求。反之,我們會(huì)把他們重定向到一個(gè)發(fā)行口令的服務(wù)器,這個(gè)服務(wù)器會(huì)驗(yàn)證并且在沒(méi)有的情況下給予他們一個(gè)簽名的口令。

明銳的你可能會(huì)發(fā)現(xiàn),上面的代碼存在時(shí)間上的漏洞。如果你沒(méi)有發(fā)現(xiàn),別難過(guò)。嗯,也許會(huì)有點(diǎn)難過(guò)。

這里是一段Lua的代碼,用來(lái)比較兩個(gè)字符串在恒定時(shí)間上的等值關(guān)系(因而能夠阻止任何時(shí)間上的攻擊,除非我忽視了什么,這極為可能):

 
 
 
    
  
  
  
  1. function compare_strings(str1, str2) 
    2. 
  
  
  
  2.     -- Constant-time string comparison function. 
    3. 
  
  
  
  3.     local same = true 
    4. 
  
  
  
  4.     for i = 1, #str1 do 
    5. 
  
  
  
  5.         -- If the two strings' lengths are different, sub() 
    6. 
  
  
  
  6.         -- will just return nil for the remaining length. 
    7. 
  
  
  
  7.         c1 = str1:sub(i,i) 
    8. 
  
  
  
  8.         c2 = str2:sub(i,i) 
    9. 
  
  
  
  9.         if c1 ~= c2 then 
    10. 
  
  
  
  10.             same = false 
    11. 
  
  
  
  11.         end 
    12. 
  
  
  
  12.     end 
    13. 
  
  
  
  13.     return same 
    14. 
  
  
  
  14. end
    15.

我已經(jīng)在函數(shù)上應(yīng)用了時(shí)間來(lái)區(qū)分,如我所知,這是一個(gè)在恒定時(shí)間下的等值字符串。不同長(zhǎng)度的字符串會(huì)稍稍改變時(shí)間,也許是因?yàn)樽舆^(guò)程sub應(yīng)用了一個(gè)不同的分支而導(dǎo)致的。而且,c1~=c2分支顯然不是恒定時(shí)間的,但是在實(shí)際中,它相當(dāng)接近恒定,所以于我們的例子不會(huì)有影響。我更傾向于使用XOR操作,從而確定兩個(gè)字符串的XOR結(jié)果是否為0, 不過(guò)Lua似乎不包括二進(jìn)制位的XOR操作。如果我在這個(gè)判斷上有誤,對(duì)于任何糾正我都很感激。

口令發(fā)行服務(wù)器

現(xiàn)在,我們已經(jīng)寫了一些很棒的口令檢查代碼,所有需要做的,只是寫一個(gè)服務(wù)器來(lái)真正的發(fā)行這些口令。我本可以用Python以及Flask來(lái)寫這個(gè)服務(wù)器,不過(guò)我還是想用Go做一個(gè)嘗試,因?yàn)槲沂且粋€(gè)計(jì)算機(jī)語(yǔ)言潮人而且Go看上去“酷”。使用Python大概會(huì)快一些,不過(guò)我樂(lè)意用Go。

這個(gè)服務(wù)器會(huì)彈出一個(gè)HTTP基礎(chǔ)驗(yàn)證的表單,檢查你輸入的帳戶,如果正確,它會(huì)給你一個(gè)簽名的口令,適合于一個(gè)小時(shí)的代理服務(wù)器訪問(wèn)。這樣,你只需要驗(yàn)證外部服務(wù)一次,而隨后的身份驗(yàn)證的檢查將在nginx層面,而且會(huì)相當(dāng)?shù)目臁?/p>

請(qǐng)求處理器

寫一個(gè)處理器,來(lái)彈出一個(gè)基本的驗(yàn)證窗體不是很難,但是Go沒(méi)有完美的文檔,所以我必須自己一點(diǎn)點(diǎn)尋獵。其實(shí)非常簡(jiǎn)單,最終,這里就是HTTP基本驗(yàn)證的Go代碼:

 
 
 
    
  
  
  
  1. func handler(w http.ResponseWriter, r *http.Request) { 
    2. 
  
  
  
  2.     if username := checkAuth(r); username == "" { 
    3. 
  
  
  
  3.         w.Header().Set("WWW-Authenticate", `Basic realm="The kingdom of Stavros"`) 
    4. 
  
  
  
  4.         w.WriteHeader(401) 
    5. 
  
  
  
  5.         w.Write([]byte("401 Unauthorized\n")) 
    6. 
  
  
  
  6.     } else { 
    7. 
  
  
  
  7.         fmt.Printf("Authenticated user %v.\n", username) 
    8. 
  
  
  
  8.         token := getToken() 
    9. 
  
  
  
  9.         setTokenCookie(w, token) 
    10. 
  
  
  
  10.         fmt.Fprintf(w, "") 
    11. 
  
  
  
  11.     } 
    12. 
  
  
  
  12. }
    13.

設(shè)置口令和cookie

一旦我們驗(yàn)證了一個(gè)用戶之后,我們需要給他們的口令設(shè)置一個(gè)cookie。我門只需要做我們用Lua做過(guò)的同樣的事情,如上,只是更加簡(jiǎn)單,因?yàn)镚o在標(biāo)準(zhǔn)庫(kù)里面就包括一個(gè)真加密包。這個(gè)代碼一樣很直接明了,即使沒(méi)有完全文檔化:

 
 
 
    
  
  
  
  1. func getToken() string { 
    2. 
  
  
  
  2.     expiration := int(time.Now().Unix()) + 3600
    3. 
  
  
  
  3.     mac := hmac.New(sha1.New, []byte("some very secret string")) 
    4. 
  
  
  
  4.     mac.Write([]byte(fmt.Sprintf("%v", expiration))) 
    5. 
  
  
  
  5.     expectedMAC := fmt.Sprintf("%x", mac.Sum(nil)) 
    6. 
  
  
  
  6. 
  
  
  
  7.     return fmt.Sprintf("%v:%s", expiration, expectedMAC) 
    8. 
  
  
  
  8. } 
    9. 
  
  
  
  9. 
  
  
  
  10. func setTokenCookie(w http.ResponseWriter, token string) { 
    11. 
  
  
  
  11.     rawCookie := fmt.Sprintf("MyToken=%s", token) 
    12. 
  
  
  
  12.     expire := time.Now().Add(time.Hour) 
    13. 
  
  
  
  13.     cookie := http.Cookie{"MyToken", 
    14. 
  
  
  
  14.         token, 
    15. 
  
  
  
  15.         "/", 
    16. 
  
  
  
  16.         ".cdxwcx.com", 
    17. 
  
  
  
  17.         expire, 
    18. 
  
  
  
  18.         expire.Format(time.UnixDate), 
    19. 
  
  
  
  19.         3600, 
    20. 
  
  
  
  20.         false, 
    21. 
  
  
  
  21.         true, 
    22. 
  
  
  
  22.         rawCookie, 
    23. 
  
  
  
  23.         []string{rawCookie}} 
    24. 
  
  
  
  24.     http.SetCookie(w, &cookie) 
    25. 
  
  
  
  25. }
    26.

嘗試把他們放在一起

來(lái)完成我們這一大段美妙的組合,我們只需要一個(gè)函數(shù),用來(lái)檢查由用戶提供的驗(yàn)證信息,而且我們做到了!這里是我從一些庫(kù)里面汲取出來(lái)的代碼,當(dāng)前它只是檢查一個(gè)特定的用戶名/密碼的組合,所以和第三方的服務(wù)的集成就做為留給讀者的作業(yè)吧:

 
 
 
    
  
  
  
  1. func checkAuth(r *http.Request) string { 
    2. 
  
  
  
  2.     s := strings.SplitN(r.Header.Get("Authorization"), " ", 2) 
    3. 
  
  
  
  3.     if len(s) != 2 || s[0] != "Basic" { 
    4. 
  
  
  
  4.         return "" 
    5. 
  
  
  
  5.     } 
    6. 
  
  
  
  6. 
  
  
  
  7.     b, err := base64.StdEncoding.DecodeString(s[1]) 
    8. 
  
  
  
  8.     if err != nil { 
    9. 
  
  
  
  9.         return "" 
    10. 
  
  
  
  10.     } 
    11. 
  
  
  
  11.     pair := strings.SplitN(string(b), ":", 2) 
    12. 
  
  
  
  12.     if len(pair) != 2 { 
    13. 
  
  
  
  13.         return "" 
    14. 
  
  
  
  14.     } 
    15. 
  
  
  
  15.     if pair[0] != "username" || pair[1] != "password" { 
    16. 
  
  
  
  16.         return "" 
    17. 
  
  
  
  17.     } 
    18. 
  
  
  
  18.     return pair[0] 
    19. 
  
  
  
  19. }
    20.

結(jié)論

我到目前對(duì)于nginx的Lua模塊還是有著相當(dāng)?shù)南矚g。它允許你在web服務(wù)器的請(qǐng)求/響應(yīng)周期里面做一些簡(jiǎn)單的操作,而且對(duì)于某些操作,比如為代理服務(wù)器做驗(yàn)證的檢查,是很有意義的。這些事情對(duì)于一個(gè)不可編程的web服務(wù)器,一直很難,因此我們極可能需要寫自己的HTTP代理服務(wù)。

上面的代碼相當(dāng)?shù)暮?jiǎn)短,而且優(yōu)雅,所以我對(duì)于上面的所有都感到高興。我不能確定,這對(duì)于響應(yīng)添加了多少額外的時(shí)間,不過(guò),做一個(gè)驗(yàn)證是有好處的,我想這將值得去做(而且應(yīng)該足夠快,所以不是一個(gè)問(wèn)題)。

另一個(gè)好處就是,你可以僅使用一個(gè)在nginxlocationblock里面的單獨(dú)的directive來(lái)開(kāi)啟它,所以沒(méi)有需要跟蹤的配置項(xiàng)。我發(fā)現(xiàn),總體而言,這是一個(gè)非常優(yōu)雅的解決方案,而且我很高興的了解到nginx可以讓我去做這樣的事情,可能是將來(lái)我需要去做的。

如果你有任何建言或者是反饋,請(qǐng)留下你的評(píng)語(yǔ)(特別是如果我把某些地方給弄錯(cuò)了)。

英文原文:Writing an nginx authentication module in Lua

譯文鏈接:http://www.oschina.net/translate/writing-an-nginx-authentication-module-in-lua


網(wǎng)頁(yè)名稱:使用Lua編寫一個(gè)Nginx認(rèn)證模塊
分享地址:http://www.5511xx.com/article/cciepoo.html