forward_auth
一个固执己见的指令,它将请求的克隆代理到认证网关,该网关可以决定是继续处理,还是需要发送到登录页面。
Caddy 的 reverse_proxy 能够对外部服务执行"预检查请求",但此指令专门针对认证用例进行了定制。此指令实际上只是一种使用更长、更常见的配置(如下)的便捷方式。
此指令向配置的上游发送 GET 请求,并重写 uri:
- 如果上游响应
2xx状态码,则授予访问权限,并将copy_headers中的头字段复制到原始请求中,然后继续处理。 - 否则,如果上游响应任何其他状态码,则将上游的响应复制回客户端。此响应通常应该涉及重定向到认证网关的登录页面。
如果这种行为不完全符合您的需求,您可以采用下面的展开形式作为基础,并根据需要进行自定义。
支持 reverse_proxy 的所有子指令,并将它们传递给底层的 reverse_proxy 处理器。
语法
forward_auth [<matcher>] [<upstreams...>] {
uri <to>
copy_headers <fields...> {
<fields...>
}
}
-
<upstreams...> 是要发送认证请求的上游(后端)列表。
-
uri 是要在发送到上游的请求上设置的 URI(路径和查询)。这通常是认证网关的验证端点。
-
copy_headers 是当请求具有成功状态码时,要从响应复制到原始请求的 HTTP 头字段列表。
可以通过使用
>后跟新名称来重命名字段,例如Before>After。如果您更喜欢可读性,可以使用块来列出所有字段,每行一个。
由于此指令是反向代理的固执己见的包装器,您可以使用 reverse_proxy 的任何子指令来自定义它。
展开形式
forward_auth 指令与以下配置相同。像 Authelia 这样的认证网关可以很好地与此预设配合使用。如果您的网关不能,可以从此处借用并根据需要进行自定义,而不是使用 forward_auth 快捷方式。
reverse_proxy <upstreams...> {
# 始终使用 GET,这样就不会消耗
# 传入请求的正文
method GET
# 将 URI 更改为认证网关的
# 验证端点
rewrite <to>
# 转发原始方法和 URI,
# 因为它们在上面被重写了;这是
# 对 reverse_proxy 已经设置的
# 其他 X-Forwarded-* 头的补充
header_up X-Forwarded-Method {method}
header_up X-Forwarded-Uri {uri}
# 在成功响应时,复制响应头
@good status 2xx
handle_response @good {
# 例如,对于每个 copy_headers 字段...
request_header Remote-User {rp.header.Remote-User}
request_header Remote-Email {rp.header.Remote-Email}
}
}
示例
Authelia
在通过反向代理提供您的应用程序之前,将认证委托给 Authelia:
# 提供认证网关本身
auth.example.com {
reverse_proxy authelia:9091
}
# 提供您的应用程序
app1.example.com {
forward_auth authelia:9091 {
uri /api/authz/forward-auth
copy_headers Remote-User Remote-Groups Remote-Name Remote-Email
}
reverse_proxy app1:8080
}
有关更多信息,请参阅 Authelia 的文档 以了解如何与 Caddy 集成。
Tailscale
将认证委托给 Tailscale(目前名为 nginx-auth,但它仍然可以与 Caddy 一起使用),并使用 copy_headers 的替代语法来重命名复制的头(注意每个头中的 >):
forward_auth unix//run/tailscale.nginx-auth.sock {
uri /auth
header_up Remote-Addr {remote_host}
header_up Remote-Port {remote_port}
header_up Original-URI {uri}
copy_headers {
Tailscale-User>X-Webauth-User
Tailscale-Name>X-Webauth-Name
Tailscale-Login>X-Webauth-Login
Tailscale-Tailnet>X-Webauth-Tailnet
Tailscale-Profile-Picture>X-Webauth-Profile-Picture
}
}