自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

使用Lua編寫一個Nginx認(rèn)證模塊

開發(fā) 前端
過去兩天里,我解決了一個非常有趣的問題。我用一個nginx服務(wù)器作為代理,需要能夠向其中添加一個認(rèn)證層,使其能夠使用外部的認(rèn)證源(比如某個web應(yīng)用)來進(jìn)行驗(yàn)證,如果用戶在外部認(rèn)證源有賬號,就可以在代理里認(rèn)證通過。

過去兩天里,我解決了一個非常有趣的問題。我用一個nginx服務(wù)器作為代理,需要能夠向其中添加一個認(rèn)證層,使其能夠使用外部的認(rèn)證源(比如某個web應(yīng)用)來進(jìn)行驗(yàn)證,如果用戶在外部認(rèn)證源有賬號,就可以在代理里認(rèn)證通過。

需求一覽

我考慮了幾種解決方案,羅列如下:

  • 用一個簡單的Python/Flask模塊來做代理和驗(yàn)證。
  • 一個使用subrequests做驗(yàn)證的nginx模塊(nginx目前可以做到這一點(diǎn))
  • 使用Lua編寫一個nginxren認(rèn)證模塊

很顯然,給整個系統(tǒng)添加額外請求將執(zhí)行的不是很好,因?yàn)檫@將會增加延遲(特別是給每一個頁面文件都增加一個請求是很讓人煩惱的).這就意味著我們把 subrequest模塊排除在外了。Python/Flash解決方案好像對nginx支持的也并不好,所以咱也把它排除了。就剩Lua了,當(dāng)然 nginx對原生化支持得不錯的。

因?yàn)槲也幌朐贁U(kuò)展的服務(wù)器上對每一個請求都做認(rèn)證,所以我決定生成一些令牌,這樣人們就可以將它保存起來,并把它呈現(xiàn)給服務(wù)器,然后服務(wù)器就讓請求通過。然而,因?yàn)長ua模塊沒有一種保持狀態(tài)的方式(我已經(jīng)發(fā)現(xiàn)),所以我們不能將令牌隨處存儲。當(dāng)你沒有更多的內(nèi)存時,怎樣來驗(yàn)證用戶所說的話呢?

解決問題

加密簽名的方式可是咱的救星!我們可以拿用戶的用戶名和過期時間數(shù)據(jù)來給用戶添加簽名的cookies,這樣就能很容易的驗(yàn)證每個用戶是誰了,同時我們就不用令牌了。

在nginx中,我們要做的就是直接在指定位置配置access_by_lua_file /our/file.lua,這樣這個指定位置就可以保護(hù)我們的腳本了?,F(xiàn)在,讓我們一起來寫代碼:

  1. -- Some variable declarations.  
  2. local cookie = ngx.var.cookie_MyToken  
  3. local hmac = ""  
  4. local timestamp = ""  
  5. local timestamp_time = 0 
  6.  
  7. -- Check that the cookie exists.  
  8. if cookie == nil or cookie:find(":") == nil then  
  9.     -- Internally rewrite the URL so that we serve  
  10.     -- /auth/ if there's no cookie.  
  11.     ngx.exec("/auth/")  
  12. else 
  13.     -- If there's a cookie, split off the HMAC signature  
  14.     -- and timestamp.  
  15.     local divider = cookie:find(":")  
  16.     hmac = cookie:sub(divider+1)  
  17.     timestamp = cookie:sub(0, divider-1)  
  18. end  
  19.  
  20. -- Verify that the signature is valid.  
  21. if hmac_sha1("some very secret string", timestamp) ~= hmac or tonumber(timestamp) < os.time() then  
  22.     -- If invalid, send to /auth/ again.  
  23.     ngx.exec("/auth/")  
  24. end 

上面的代碼可以直接運(yùn)行。我們用一些明文來簽名(這種情況下用的是一個時間戳,當(dāng)然你可以用任何你想用的),之后我們用密文生成HMAC(哈希信息認(rèn)證碼),然后一個簽名就生成了,這樣用戶就不能篡改為無效信息了。

當(dāng)用戶試圖載入一個資源的時候,我們會檢查cookie里面的簽名是否有效,如果是,就通過他的請求。反之,我們會把他們重定向到一個發(fā)行口令的服務(wù)器,這個服務(wù)器會驗(yàn)證并且在沒有的情況下給予他們一個簽名的口令。

明銳的你可能會發(fā)現(xiàn),上面的代碼存在時間上的漏洞。如果你沒有發(fā)現(xiàn),別難過。嗯,也許會有點(diǎn)難過。

這里是一段Lua的代碼,用來比較兩個字符串在恒定時間上的等值關(guān)系(因而能夠阻止任何時間上的攻擊,除非我忽視了什么,這極為可能

  1. function compare_strings(str1, str2)  
  2.     -- Constant-time string comparison function.  
  3.     local same = true  
  4.     for i = 1#str1 do  
  5.         -- If the two strings' lengths are different, sub()  
  6.         -- will just return nil for the remaining length.  
  7.         c1 = str1:sub(i,i)  
  8.         c2 = str2:sub(i,i)  
  9.         if c1 ~= c2 then  
  10.             same = false  
  11.         end  
  12.     end  
  13.     return same  
  14. end 

我已經(jīng)在函數(shù)上應(yīng)用了時間來區(qū)分,如我所知,這是一個在恒定時間下的等值字符串。不同長度的字符串會稍稍改變時間,也許是因?yàn)樽舆^程sub應(yīng)用了一個不同的分支而導(dǎo)致的。而且,c1~=c2分支顯然不是恒定時間的,但是在實(shí)際中,它相當(dāng)接近恒定,所以于我們的例子不會有影響。我更傾向于使用XOR操作,從而確定兩個字符串的XOR結(jié)果是否為0, 不過Lua似乎不包括二進(jìn)制位的XOR操作。如果我在這個判斷上有誤,對于任何糾正我都很感激。

口令發(fā)行服務(wù)器

現(xiàn)在,我們已經(jīng)寫了一些很棒的口令檢查代碼,所有需要做的,只是寫一個服務(wù)器來真正的發(fā)行這些口令。我本可以用Python以及Flask來寫這個服務(wù)器,不過我還是想用Go做一個嘗試,因?yàn)槲沂且粋€計算機(jī)語言潮人而且Go看上去“酷”。使用Python大概會快一些,不過我樂意用Go。

這個服務(wù)器會彈出一個HTTP基礎(chǔ)驗(yàn)證的表單,檢查你輸入的帳戶,如果正確,它會給你一個簽名的口令,適合于一個小時的代理服務(wù)器訪問。這樣,你只需要驗(yàn)證外部服務(wù)一次,而隨后的身份驗(yàn)證的檢查將在nginx層面,而且會相當(dāng)?shù)目臁?/p>

請求處理器

寫一個處理器,來彈出一個基本的驗(yàn)證窗體不是很難,但是Go沒有完美的文檔,所以我必須自己一點(diǎn)點(diǎn)尋獵。其實(shí)非常簡單,最終,這里就是HTTP基本驗(yàn)證的Go代碼:

  1. func handler(w http.ResponseWriter, r *http.Request) {  
  2.     if username := checkAuth(r); username == "" {  
  3.         w.Header().Set("WWW-Authenticate", `Basic realm="The kingdom of Stavros"`)  
  4.         w.WriteHeader(401)  
  5.         w.Write([]byte("401 Unauthorized\n"))  
  6.     } else {  
  7.         fmt.Printf("Authenticated user %v.\n", username)  
  8.         token := getToken()  
  9.         setTokenCookie(w, token)  
  10.         fmt.Fprintf(w, "<html><head><script>location.reload()</script></head></html>")  
  11.     }  

設(shè)置口令和cookie

一旦我們驗(yàn)證了一個用戶之后,我們需要給他們的口令設(shè)置一個cookie。我門只需要做我們用Lua做過的同樣的事情,如上,只是更加簡單,因?yàn)镚o在標(biāo)準(zhǔn)庫里面就包括一個真加密包。這個代碼一樣很直接明了,即使沒有完全文檔化:

  1. func getToken() string {  
  2.     expiration := int(time.Now().Unix()) + 3600 
  3.     mac := hmac.New(sha1.New, []byte("some very secret string"))  
  4.     mac.Write([]byte(fmt.Sprintf("%v", expiration)))  
  5.     expectedMAC := fmt.Sprintf("%x", mac.Sum(nil))  
  6.  
  7.     return fmt.Sprintf("%v:%s", expiration, expectedMAC)  
  8. }  
  9.  
  10. func setTokenCookie(w http.ResponseWriter, token string) {  
  11.     rawCookie := fmt.Sprintf("MyToken=%s", token)  
  12.     expire := time.Now().Add(time.Hour)  
  13.     cookie := http.Cookie{"MyToken",  
  14.         token,  
  15.         "/",  
  16.         ".example.com",  
  17.         expire,  
  18.         expire.Format(time.UnixDate),  
  19.         3600,  
  20.         false,  
  21.         true,  
  22.         rawCookie,  
  23.         []string{rawCookie}}  
  24.     http.SetCookie(w, &cookie)  

嘗試把他們放在一起

來完成我們這一大段美妙的組合,我們只需要一個函數(shù),用來檢查由用戶提供的驗(yàn)證信息,而且我們做到了!這里是我從一些庫里面汲取出來的代碼,當(dāng)前它只是檢查一個特定的用戶名/密碼的組合,所以和第三方的服務(wù)的集成就做為留給讀者的作業(yè)吧:

  1. func checkAuth(r *http.Request) string {  
  2.     s := strings.SplitN(r.Header.Get("Authorization"), " "2)  
  3.     if len(s) != 2 || s[0] != "Basic" {  
  4.         return ""  
  5.     }  
  6.  
  7.     b, err := base64.StdEncoding.DecodeString(s[1])  
  8.     if err != nil {  
  9.         return ""  
  10.     }  
  11.     pair := strings.SplitN(string(b), ":"2)  
  12.     if len(pair) != 2 {  
  13.         return ""  
  14.     }  
  15.     if pair[0] != "username" || pair[1] != "password" {  
  16.         return ""  
  17.     }  
  18.     return pair[0]  

結(jié)論

我到目前對于nginx的Lua模塊還是有著相當(dāng)?shù)南矚g。它允許你在web服務(wù)器的請求/響應(yīng)周期里面做一些簡單的操作,而且對于某些操作,比如為代理服務(wù)器做驗(yàn)證的檢查,是很有意義的。這些事情對于一個不可編程的web服務(wù)器,一直很難,因此我們極可能需要寫自己的HTTP代理服務(wù)。

上面的代碼相當(dāng)?shù)暮喍?,而且?yōu)雅,所以我對于上面的所有都感到高興。我不能確定,這對于響應(yīng)添加了多少額外的時間,不過,做一個驗(yàn)證是有好處的,我想這將值得去做(而且應(yīng)該足夠快,所以不是一個問題)。

另一個好處就是,你可以僅使用一個在nginxlocationblock里面的單獨(dú)的directive來開啟它,所以沒有需要跟蹤的配置項。我發(fā)現(xiàn),總體而言,這是一個非常優(yōu)雅的解決方案,而且我很高興的了解到nginx可以讓我去做這樣的事情,可能是將來我需要去做的。

如果你有任何建言或者是反饋,請留下你的評語(特別是如果我把某些地方給弄錯了)。

英文原文:Writing an nginx authentication module in Lua

譯文鏈接:http://www.oschina.net/translate/writing-an-nginx-authentication-module-in-lua

責(zé)任編輯:林師授 來源: OSCHINA編譯
LuaNginx認(rèn)證模塊
相關(guān)推薦

2021-07-06 14:36:05

RustLinux內(nèi)核模塊

2021-04-13 06:35:13

Elixir語言編程語言軟件開發(fā)

2014-07-24 14:35:26

Linux內(nèi)核模塊

2012-07-30 09:40:52

Lua

2017-01-12 22:36:30

2024-04-16 08:09:36

JavapulsarAPI

2022-10-21 13:14:41

lua插件neovim

2011-08-23 18:04:40

LuaWiresharkDissector

2009-07-29 09:58:38

民工通過CCNACCNA

2021-04-07 13:38:27

Django項目視圖

2023-12-11 08:16:51

工具命令行參數(shù)

2020-10-12 10:58:15

IDEA插件監(jiān)聽

2016-01-06 09:57:23

編寫PHP擴(kuò)展

2023-12-12 08:08:17

插件PRPulsar

2015-08-19 09:29:35

Git協(xié)議編寫

2023-09-26 16:44:14

光模塊

2011-08-23 17:42:42

Lua腳本

2021-02-05 16:03:48

JavaScript游戲?qū)W習(xí)前端

2021-01-01 19:30:21

Python編程語言

2022-03-22 06:33:49

Python內(nèi)置模塊函數(shù)
點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號