過(guò)去兩天里，我解決了一個(gè)非常有趣的問(wèn)題。我用一個(gè)nginx服務(wù)器作為代理，需要能夠向其中添加一個(gè)認(rèn)證層，使其能夠使用外部的認(rèn)證源（比如某個(gè)web應(yīng)用）來(lái)進(jìn)行驗(yàn)證，如果用戶在外部認(rèn)證源有賬號(hào)，就可以在代理里認(rèn)證通過(guò)。
需求一覽

我考慮了幾種解決方案，羅列如下：

•     用一個(gè)簡(jiǎn)單的Python/Flask模塊來(lái)做代理和驗(yàn)證。
•     一個(gè)使用subrequests做驗(yàn)證的nginx模塊（nginx目前可以做到這一點(diǎn)）
•     使用Lua編寫一個(gè)nginxren認(rèn)證模塊

很顯然，給整個(gè)系統(tǒng)添加額外請(qǐng)求將執(zhí)行的不是很好，因?yàn)檫@將會(huì)增加延遲(特別是給每一個(gè)頁(yè)面文件都增加一個(gè)請(qǐng)求是很讓人煩惱的).這就意味著我們把subrequest模塊排除在外了。Python/Flash解決方案好像對(duì)nginx支持的也并不好，所以咱也把它排除了。就剩Lua了，當(dāng)然nginx對(duì)原生化支持得不錯(cuò)的。

因?yàn)槲也幌朐贁U(kuò)展的服務(wù)器上對(duì)每一個(gè)請(qǐng)求都做認(rèn)證，所以我決定生成一些令牌，這樣人們就可以將它保存起來(lái)，并把它呈現(xiàn)給服務(wù)器，然后服務(wù)器就讓請(qǐng)求通過(guò)。然而，因?yàn)長(zhǎng)ua模塊沒(méi)有一種保持狀態(tài)的方式(我已經(jīng)發(fā)現(xiàn))，所以我們不能將令牌隨處存儲(chǔ)。當(dāng)你沒(méi)有更多的內(nèi)存時(shí)，怎樣來(lái)驗(yàn)證用戶所說(shuō)的話呢？

解決問(wèn)題

加密簽名的方式可是咱的救星！我們可以拿用戶的用戶名和過(guò)期時(shí)間數(shù)據(jù)來(lái)給用戶添加簽名的cookies，這樣就能很容易的驗(yàn)證每個(gè)用戶是誰(shuí)了，同時(shí)我們就不用令牌了。

在nginx中，我們要做的就是直接在指定位置配置access_by_lua_file /our/file.lua，這樣這個(gè)指定位置就可以保護(hù)我們的腳本了?，F(xiàn)在，讓我們一起來(lái)寫代碼：

上面的代碼可以直接運(yùn)行。我們用一些明文來(lái)簽名(這種情況下用的是一個(gè)時(shí)間戳，當(dāng)然你可以用任何你想用的),之后我們用密文生成HMAC(哈希信息認(rèn)證碼)，然后一個(gè)簽名就生成了，這樣用戶就不能篡改為無(wú)效信息了。

當(dāng)用戶試圖載入一個(gè)資源的時(shí)候，我們會(huì)檢查cookie里面的簽名是否有效，如果是，就通過(guò)他的請(qǐng)求。反之，我們會(huì)把他們重定向到一個(gè)發(fā)行口令的服務(wù)器，這個(gè)服務(wù)器會(huì)驗(yàn)證并且在沒(méi)有的情況下給予他們一個(gè)簽名的口令。

明銳的你可能會(huì)發(fā)現(xiàn)，上面的代碼存在時(shí)間上的漏洞。如果你沒(méi)有發(fā)現(xiàn)，別難過(guò)。嗯，也許會(huì)有點(diǎn)難過(guò)。

這里是一段Lua的代碼，用來(lái)比較兩個(gè)字符串在恒定時(shí)間上的等值關(guān)系（因而能夠阻止任何時(shí)間上的攻擊，除非我忽視了什么，這極為可能）：

我已經(jīng)在函數(shù)上應(yīng)用了時(shí)間來(lái)區(qū)分，如我所知，這是一個(gè)在恒定時(shí)間下的等值字符串。不同長(zhǎng)度的字符串會(huì)稍稍改變時(shí)間，也許是因?yàn)樽舆^(guò)程sub應(yīng)用了一個(gè)不同的分支而導(dǎo)致的。而且，c1~=c2分支顯然不是恒定時(shí)間的，但是在實(shí)際中，它相當(dāng)接近恒定，所以于我們的例子不會(huì)有影響。我更傾向于使用XOR操作，從而確定兩個(gè)字符串的XOR結(jié)果是否為0, 不過(guò)Lua似乎不包括二進(jìn)制位的XOR操作。如果我在這個(gè)判斷上有誤，對(duì)于任何糾正我都很感激。

口令發(fā)行服務(wù)器

現(xiàn)在，我們已經(jīng)寫了一些很棒的口令檢查代碼，所有需要做的，只是寫一個(gè)服務(wù)器來(lái)真正的發(fā)行這些口令。我本可以用Python以及Flask來(lái)寫這個(gè)服務(wù)器，不過(guò)我還是想用Go做一個(gè)嘗試，因?yàn)槲沂且粋€(gè)計(jì)算機(jī)語(yǔ)言潮人而且Go看上去“酷”。使用Python大概會(huì)快一些，不過(guò)我樂(lè)意用Go。

這個(gè)服務(wù)器會(huì)彈出一個(gè)HTTP基礎(chǔ)驗(yàn)證的表單，檢查你輸入的帳戶，如果正確，它會(huì)給你一個(gè)簽名的口令，適合于一個(gè)小時(shí)的代理服務(wù)器訪問(wèn)。這樣，你只需要驗(yàn)證外部服務(wù)一次，而隨后的身份驗(yàn)證的檢查將在nginx層面，而且會(huì)相當(dāng)?shù)目臁?/p>

請(qǐng)求處理器

寫一個(gè)處理器，來(lái)彈出一個(gè)基本的驗(yàn)證窗體不是很難，但是Go沒(méi)有完美的文檔，所以我必須自己一點(diǎn)點(diǎn)尋獵。其實(shí)非常簡(jiǎn)單，最終，這里就是HTTP基本驗(yàn)證的Go代碼：

 
設(shè)置口令和cookie

一旦我們驗(yàn)證了一個(gè)用戶之后，我們需要給他們的口令設(shè)置一個(gè)cookie。我門只需要做我們用Lua做過(guò)的同樣的事情，如上，只是更加簡(jiǎn)單，因?yàn)镚o在標(biāo)準(zhǔn)庫(kù)里面就包括一個(gè)真加密包。這個(gè)代碼一樣很直接明了，即使沒(méi)有完全文檔化：

嘗試把他們放在一起

來(lái)完成我們這一大段美妙的組合，我們只需要一個(gè)函數(shù)，用來(lái)檢查由用戶提供的驗(yàn)證信息，而且我們做到了！這里是我從一些庫(kù)里面汲取出來(lái)的代碼，當(dāng)前它只是檢查一個(gè)特定的用戶名／密碼的組合，所以和第三方的服務(wù)的集成就做為留給讀者的作業(yè)吧：

結(jié)論

我到目前對(duì)于nginx的Lua模塊還是有著相當(dāng)?shù)南矚g。它允許你在web服務(wù)器的請(qǐng)求／響應(yīng)周期里面做一些簡(jiǎn)單的操作，而且對(duì)于某些操作，比如為代理服務(wù)器做驗(yàn)證的檢查，是很有意義的。這些事情對(duì)于一個(gè)不可編程的web服務(wù)器，一直很難，因此我們極可能需要寫自己的HTTP代理服務(wù)。

上面的代碼相當(dāng)?shù)暮?jiǎn)短，而且優(yōu)雅，所以我對(duì)于上面的所有都感到高興。我不能確定，這對(duì)于響應(yīng)添加了多少額外的時(shí)間，不過(guò)，做一個(gè)驗(yàn)證是有好處的，我想這將值得去做（而且應(yīng)該足夠快，所以不是一個(gè)問(wèn)題）。

另一個(gè)好處就是，你可以僅使用一個(gè)在nginxlocationblock里面的單獨(dú)的directive來(lái)開啟它，所以沒(méi)有需要跟蹤的配置項(xiàng)。我發(fā)現(xiàn)，總體而言，這是一個(gè)非常優(yōu)雅的解決方案，而且我很高興的了解到nginx可以讓我去做這樣的事情，可能是將來(lái)我需要去做的。

最新評(píng)論