当前位置 : 主页 > 操作系统 > centos >

Nginx使用OpenResty+Lua+Redis进行token鉴权

来源:互联网 收集:自由互联 发布时间:2022-09-29
背景介绍 公司有很多项目通过sphinx生成了Html文档,通过nginx转发,前进前端界面展示,方便员工查阅和使用。出于安全考虑,现需要添加一个登陆界面,接入公司的统一认证系统,进行

背景介绍

公司有很多项目通过sphinx生成了Html文档,通过nginx转发,前进前端界面展示,方便员工查阅和使用。 出于安全考虑,现需要添加一个登陆界面,接入公司的统一认证系统,进行账号校验

制定方案

  • 通过Oauth2连接公司统一认证系统(spring Oauth2)
  • 前端调用Oauth2获取Token
  • Nginx通过token校验实现鉴权功能

此处主要讲Nginx使用Lua脚本连接Redis校验Token是否存在。 image.png

使用OpenResty

Nginx 官方是没有 Lua 模块的,所以手动引入 OpenResty 开发的 ngx_http_lua_module不如直接使用 openresty。 openresty是一个基于 Nginx 与 Lua 的高性能 Web 平台,其内部集成了大量精良的 Lua 库、第三方模块以及大多数的依赖项。用于方便地搭建能够处理超高并发、扩展性极高的动态 Web 应用、Web 服务和动态网关。

Lua语言

Lua 是一种轻量小巧的脚本语言,用标准 C 语言编写并以源代码形式开放, 其设计目的是为了嵌入应用程序中,从而为应用程序提供灵活的扩展和定制功能。基础语法可以参考:https://www.runoob.com/lua/lua-tutorial.html

代码逻辑处理

获取Token

开始代码编写,第一步是从请求中获取鉴权参数,如果没获取到,跳转到登录页面。

-- lua 获取Nignx变量为:ngx.var -- 从cookie中获取token值key为token) local token = ngx.var.cookie_token --判断token是否为空,为空跳转 if not token then ngx.redirect("http://test.example.com/login", 302) --判断token存在,则根据redis存储格式拼写Token else token = "auth:" .. ngx.var.cookie_token end

或者从URL中获取token。

主要依据为前端传送Token存放的位置

local token = ngx.var.arg_token

发起鉴权

此处仅连接redis,检查是否存在该token,未做进一步权限鉴别。

local function close_redis(red) if not red then return end local pool_max_idle_time = 10000 --毫秒 local pool_size = 100 --连接池大小 local ok, err = red:set_keepalive(pool_max_idle_time, pool_size) if not ok then ngx.say("close redis error : ",err); end end -- 连接redis local redis = require "resty.redis"; local red = redis:new(); red:set_timeout(2000) local ok,err = red:connect("127.0.0.1", 6379) if not ok then ngx.say("failed to connect: ", err) end -- 请注意这里 auth 的调用过程 这是redis设置密码的 local res, err = red:auth("password") if not res then ngx.say("failed to authenticate: ", err) end -- redis中若 key 存在返回 1 ,否则返回 0 。 local resp, err = red:exists(token) if not resp then ngx.say("get msg error : ", err) return close_redis(red) end if resp == ngx.null then resp = '' end if resp == 0 then -- ngx.exit(ngx.HTTP_FORBIDDEN) ngx.redirect("http://test.example.com/login", 302) end close_redis(red)

Nginx配置及完整代码

server { listen 80; server_name test.example.com; charset utf-8; autoindex on; autoindex_exact_size on; autoindex_localtime on; location / { lua_code_cache on; rewrite_by_lua_file /usr/local/openresty/nginx/conf/conf.d/redis.lua; error_log /usr/local/openresty/nginx/logs/error.log; root /data/; index index.html; } location /login { alias /data/login; index index.html; } }
  • /usr/local/openresty/nginx/conf/conf.d/redis.lua
-- 从cookie中获取token值key为token) local token = ngx.var.cookie_token --判断token是否为空,为空跳转 if not token then ngx.redirect("http://test.example.com/login", 302) --判断token存在,则根据redis存储格式拼写Token else token = "auth:" .. ngx.var.cookie_token end local function close_redis(red) if not red then return end local pool_max_idle_time = 10000 --毫秒 local pool_size = 100 --连接池大小 local ok, err = red:set_keepalive(pool_max_idle_time, pool_size) if not ok then ngx.say("close redis error : ",err); end end -- 连接redis local redis = require "resty.redis"; local red = redis:new(); red:set_timeout(2000) local ok,err = red:connect("127.0.0.1", 6379) if not ok then ngx.say("failed to connect: ", err) end -- 请注意这里 auth 的调用过程 这是redis设置密码的 local res, err = red:auth("password") if not res then ngx.say("failed to authenticate: ", err) end -- redis中若 key 存在返回 1 ,否则返回 0 。 local resp, err = red:exists(token) if not resp then ngx.say("get msg error : ", err) return close_redis(red) end if resp == ngx.null then resp = '' end if resp == 0 then -- ngx.exit(ngx.HTTP_FORBIDDEN) ngx.redirect("http://test.example.com/login", 302) end close_redis(red)
上一篇:[ Linux ] Linux调试器--gdb使用
下一篇:没有了
网友评论