Почему не работает внутреняя авторизация на nginx ларавел?

Question

[Валерий Павлов]

Много текста, но нужна помощь.
У меня есть на сайт на Laravel. Мне нужно установить на него пароль, у меня стоит nginx.
В конфиге я прописал следующие:

auth_basic "Restricted";
auth_basic_user_file /etc/nginx/conf.d/.htpasswd;

Естественно файл с паролем создан нормально.

Захожу на сайт - он просит ввести лог и пас, все как нужно. Я ввожу, он пропускает меня на сайт и я даже могу переключаться между страницами. Но, если я попробую авторизоваться на сайте (сама авторизация написанная уже кодом), то nginx снова начнет просить пароль и логин, но на этот раз не принимать их (вводишь - нажимаешь "Вход", он опять просит).

Я много что перепробовал и реально не понимаю в чем суть. Смотрел логи, там ничего нигде не нашел, я не понимаю почему не пускает.

Я точно не знаю в чем проблема, но тогадка - это во внутреннем API.
Многие запросы, в том числе и запрос об авторизации как я понял идет на api. Потому-что когда после авторизации, он просит меня ввести пароль и если я нажму "Отмена" - то у запросов типа domen.ru/api - произойдет ошибка 401, т.е. ошибка авторизация.

Там несколько таких запросов, но например не проходит и /api/user, которые и отвечает как я понял за авторизацию внутренюю. Не могу понять, почему такое происходит.

Comments

[Lynn «Кофеман»]

Как сделана авторизация в Laravel?

[Валерий Павлов]

Lynn «Кофеман», Что конкретно тебя интересует?

Answer 1

[Иван Корюков]

Не работает потому что nginx и веб-приложение используют один и тот же http заголовок для передачи данных авторизации. Универсального решения нет.
Как вариант, если приложение и так закрыто своей авторизацией, то basic можно и не делать. Или можно изменить заголовок авторизации в веб-приложении. Или попытаться разнести бэк и фронт на разные домены, чтобы одно было закрыто бейсиком, а другое собственной авторизацией.

Comments

[Валерий Павлов]

Приложение не полностью закрыто своей авторизацией, а мне его нужно полностью закрыть.
Да, я бы мог дописать и что-то придумать чтобы его полностью закрывать, но тогда, когда я через git все это запушу на основной сервер (все это, я делаю на дев сервере, его и нужно мне было закрыть), основной тоже закроется. А придумывать какое-то определение по url мне кажется слишком муторно и все же хотелось способ легче.

"Или можно изменить заголовок авторизации в веб-приложении" - скажи пожалуйста, как это сделать? Я без понятия.

[Иван Корюков]

youmixx, это хорошо что вы редактируете код на dev сервере и закрываете его авторизацией, так и надо. Так все делают. И по хорошему, ваш сайт должен быть готов к тому, чего его могут запустить в разных окружениях с немного разными настройками. Учитывая что вы используете laravel, вам не составит труда добавить т.н. env переменную, которая включает и отключает полное закрытие сайта авторизацией. Я не говорю что именно так и нужно сделать, но фраза "у меня гит и боевой сайт тоже получит эти настройки" не является оправданием.

Изменить используемый заголовок не всегда возможно. Нужно править код, а он может быть не ваш - ну там пакет какой-нибудь установлен.

[Валерий Павлов]

Иван Корюков, Я все равно хочу попробовать закрыть через basic. Я понимаю, что не всегда возможно править, если это делает какой-то пакет. Но это же не точно.

Как понять, какой заголовок и кто там занимает, чтобы разобраться?

[Иван Корюков]

youmixx, basic авторизация работает через заголовок Authorization.
Его устанавливает браузер и отслеживает nginx.
Ну а в веб-приложении этот же заговок скорее всего устанавливается в JS коде, а обрабатывается каким-нибудь middleware.

[Валерий Павлов]

Иван Корюков, Слушай, смотри. Я тут нашел кое-что. Может быть тут уже для этого все уже настроено и нужно что то врубить?

[Иван Корюков]

Иван, вот и разгадка. Веб-приложение не просто использует тот же заголовок для авторизации, но и вообще использует для авторизации тот же механизм - basic. Тут точо сменить заголовок не получится.
Но зато вы можете написать свой middleware вместо этого, который, если сайт на бою, проверяет авторизацию, а если на dev-сервере, то ничего не делает и не мешает авторизации nginx.

[Валерий Павлов]

Иван Корюков, Да, уже получилось. Спасибо.

Answer 2

[Vanya Huk]

Попробуйте вот так прописать

set $auth_basic off;

    if ($request_method = 'GET') {
         set $auth_basic "Restricted";
    }
    auth_basic $auth_basic;
    auth_basic_user_file /etc/nginx/conf.d/.htpasswd;

Comments

[Валерий Павлов]

Не помогло. API запросы идут тоже через GET метод.

[Vanya Huk]

youmixx, API запрос для авторизации через GET?

[Валерий Павлов]

Vanya Huk, Да.