Как правильно реализовать логику авторизации пользователей?

Question

Alex M. @reeder

Nginx

Как правильно реализовать логику авторизации пользователей?

Всем привет!
Столкнулся с проблемой, нужна помошь.
Задача такая:

https://site.com -> Агент GoogleImageProxy не требовать авторизацию
https://site.com -> Требовать авторизацию у всех кроме администратора и локалхост, файл с пользователями htAdminPasswds и сообшения "Site in developing"
https://site.com/mail/ -> Требовать авторизацию eMail ползователей, файл с пользователями htUserPasswds и сообшения "Corporate eMail"
https://site.com/share/ -> Не требовать авторизацию
https://site.com/Microsoft-Server-ActiveSync -> Не требовать авторизацию

Частично проблему решил но как всегда есть "НО!"
В некоторых запросах (примеры ниже) nginx выдает две строки "WWW-Authenticate: Basic realm" в заголовке
В принципе реализация работает даже с двумя строками но все же хочется исправить.

curl -v https://site.com/
*   Trying 1.1.1.1...
* Connected to site.com (1.1.1.1) port 443 (#0)
* TLS 1.2 connection using TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
....
> GET / HTTP/1.1
> Host: site.com
> User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)
> Accept: */*
>
< HTTP/1.1 401 Unauthorized
< Server: nginx
< Date: Mon, 23 Nov 2015 19:56:35 GMT
< Content-Type: text/html
< Content-Length: 590
< Connection: keep-alive
< WWW-Authenticate: Basic realm="Site in developing"
< WWW-Authenticate: Basic realm="Site in developing" <----- проблема
<
<html>
....
############################################################################################################################################

$ curl -v https://site.com/mail/
*   Trying 1.1.1.1...
* Connected to site.com (1.1.1.1) port 443 (#0)
* TLS 1.2 connection using TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
....
> GET /mail/ HTTP/1.1
> Host: site.com
> User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)
> Accept: */*
>
< HTTP/1.1 401 Unauthorized
< Server: nginx
< Date: Mon, 23 Nov 2015 19:58:38 GMT
< Content-Type: text/html
< Content-Length: 590
< Connection: keep-alive
< WWW-Authenticate: Basic realm="Corporate eMail"
< WWW-Authenticate: Basic realm="Site in developing"<----- проблема
<
<html>
....
############################################################################################################################################

$ curl -v https://site.com/nonexistentpage
*   Trying 1.1.1.1...
* Connected to site.com (1.1.1.1) port 443 (#0)
* TLS 1.2 connection using TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
....
> GET /nonexistentpage HTTP/1.1
> Host: site.com
> User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)
> Accept: */*
>
< HTTP/1.1 401 Unauthorized
< Server: nginx
< Date: Mon, 23 Nov 2015 20:08:10 GMT
< Content-Type: text/html
< Content-Length: 590
< Connection: keep-alive
< WWW-Authenticate: Basic realm="Site in developing"
< WWW-Authenticate: Basic realm="Site in developing" <----- проблема
<
<html>
....

######################################################################
# * * * * * * * * * * * * * Логика авторизации * * * * * * * *  * * *
#-=-=-=--=-=-=-=-=-=-=-=-=-=-=-=-=-=-=--=-=-=-=-=-=-=-=-=-=-=-=-=-=--=
# * Переменные
set $realm "off";
set $user_file "";
set $switcher "";
# * Требуем пароль но пропускаем администратора и локалхост
if ($remote_addr !~ "^(127.0.0.1|х.х.х.х)$"){
	set $switcher "A";
}
# * Требуем пароль eMail ползователей
if ($uri ~ "/mail") {
	set $switcher "${switcher}B";
}
# * Объявляем Админ ползователей
if ($switcher = A) {
	set $realm "Site in developing";
	set $user_file "htAdminPasswds";
}
# * Объявляем eMail ползователей
if ($switcher = AB) {
	set $realm "Corporate eMail";
	set $user_file "htUserPasswds";
}
# * Пропускаем без запроса пароля
location /share/ {
	set $realm "off";
}
if ( $http_user_agent ~ GoogleImageProxy ){
	set $realm "off";
}
if ($uri ~ "/Microsoft-Server-ActiveSync"){
	set $realm "off";
}
# * Запрос пароля
auth_basic $realm;
auth_basic_user_file $user_file;
######################################################################

$ nginx -V
nginx version: nginx/1.4.6 (Ubuntu)
built by gcc 4.8.4 (Ubuntu 4.8.4-2ubuntu1~14.04)
TLS SNI support enabled
configure arguments: --with-cc-opt='-g -O2 -fstack-protector --param=ssp-buffer-size=4 -Wformat -Werror=format-security -D_FORTIFY_SOURCE=2' --with-ld-opt='-Wl,-Bsymbolic-functions -Wl,-z,relro' --prefix=/usr/share/nginx --conf-path=/etc/nginx/nginx.conf --http-log-path=/var/log/nginx/access.log --error-log-path=/var/log/nginx/error.log --lock-path=/var/lock/nginx.lock --pid-path=/run/nginx.pid --http-client-body-temp-path=/var/lib/nginx/body --http-fastcgi-temp-path=/var/lib/nginx/fastcgi --http-proxy-temp-path=/var/lib/nginx/proxy --http-scgi-temp-path=/var/lib/nginx/scgi --http-uwsgi-temp-path=/var/lib/nginx/uwsgi --with-debug --with-pcre-jit --with-ipv6 --with-http_ssl_module --with-http_stub_status_module --with-http_realip_module --with-http_addition_module --with-http_dav_module --with-http_geoip_module --with-http_gzip_static_module --with-http_image_filter_module --with-http_spdy_module --with-http_sub_module --with-http_xslt_module --with-mail --with-mail_ssl_module

Вопрос задан более трёх лет назад
556 просмотров

Комментировать

Подписаться 1 Оценить Комментировать

Пригласить эксперта

Ответы на вопрос 2

2 комментария

Alex M. @reeder Автор вопроса

с модулем map проблема решается опять таки частично.

$ curl -v --user "user@site.com:pass" https://site.com/
*   Trying 1.1.1.1...
* Connected to site.com (1.1.1.1) port 443 (#0)
* TLS 1.2 connection using TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
...
* Server auth using Basic with user 'solomon@site.com'
> GET / HTTP/1.1
> Host: site.com
> Authorization: Basic dXNlckBzaXRlLmNvbTpwYXNz
> User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)
> Accept: */*
>
< HTTP/1.1 401 Unauthorized
< Server: nginx
< Date: Mon, 23 Nov 2015 22:26:57 GMT
< Content-Type: text/html
< Content-Length: 590
< Connection: keep-alive
* Authentication problem. Ignoring this.
< WWW-Authenticate: Basic realm="Site in developing"
* Authentication problem. Ignoring this.   <----- проблема
< WWW-Authenticate: Basic realm="Site in developing"   <----- проблема
<
<html>
#############################################

$ curl -v https://site.com/mail/
*   Trying 1.1.1.1...
* Connected to site.com (1.1.1.1) port 443 (#0)
* TLS 1.2 connection using TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
...
> GET /mail/ HTTP/1.1
> Host: site.com
> User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)
> Accept: */*
>
< HTTP/1.1 401 Unauthorized
< Server: nginx
< Date: Mon, 23 Nov 2015 22:33:47 GMT
< Content-Type: text/html
< Content-Length: 590
< Connection: keep-alive
< WWW-Authenticate: Basic realm="Corporate eMail"
< WWW-Authenticate: Basic realm="Corporate eMail" <----- проблема
<
<html>
...

Написано более трёх лет назад

alegzz @alegzz

Alex M.: я извиняюсь, как вы переписали конфиг? if'ы надо убрать, параметры auth_* внести в location, ip исключать через allow/deny и включением авторизации по любому модулю (satisfy any).

Написано более трёх лет назад

Комментировать

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы

Nginx

+2 ещё

Простой
Как победить CORS?
- 1 подписчик
- 13 часов назад
- 75 просмотров
0

ответов
Веб-разработка

+2 ещё

Средний
Почему не подтягиваются изменения стилей для https?
- 1 подписчик
- 18 часов назад
- 77 просмотров
1

ответ
Nginx

+1 ещё

Сложный
Как настроить HTTPS прокси сервер на одном IP, что backend сервера видели IP клиента?
- 1 подписчик
- 20 нояб.
- 112 просмотров
4

ответа
MySQL

+2 ещё

Средний
Почему падает соединение с mysql за nginx?
- 2 подписчика
- 19 нояб.
- 173 просмотра
0

ответов
Nginx

+2 ещё

Простой
Reverse proxy и Mikrotik, как запустить?
- 1 подписчик
- 18 нояб.
- 217 просмотров
1

ответ
Nginx

Простой
У меня nginx не видит файлы в папке, почему?
- 1 подписчик
- 18 нояб.
- 192 просмотра
2

ответа
Nginx

Простой
Настройка nginx для нескольких статич сайтов (прилоджений реакт)?
- 1 подписчик
- 14 нояб.
- 95 просмотров
1

ответ
Nginx

+1 ещё

Простой
Почему при наличии системной переменной Debian 12.8 в «/usr/sbin/nginx» — при вводе команды «# nginx -v» ошибка «команда не найдена»?
- 2 подписчика
- 14 нояб.
- 140 просмотров
1

ответ
Nginx

Простой
Как правильно настроить конфиг Nginx?
- 1 подписчик
- 12 нояб.
- 220 просмотров
1

ответ
Nginx

Простой
Как настроить nginx для yii2 на хостинге?
- 1 подписчик
- 12 нояб.
- 44 просмотра
0

ответов
Показать ещё Загружается…

Прикладной администратор SberApps

Сбер • Москва

от 230 000 ₽

Go Developer

Karma8

До 600 000 ₽

Devops (Персона)

Сбер • Москва

от 230 000 ₽

Текст из фотографии в отдельный файл

26 нояб. 2024, в 04:41

1500 руб./за проект

Выложить 75 курсов на геткурс и настроить базовые функции

26 нояб. 2024, в 02:18

15000 руб./за проект

Редизайн и доработка интернет магазина на wordPress

25 нояб. 2024, в 23:42

50000 руб./за проект

Answer 1 · 2015-11-23 23:41:40

alegzz @alegzz

https://www.nginx.com/resources/wiki/start/topics/...
nginx.org/ru/docs/http/ngx_http_map_module.html

ps. на 1.9.6 не воспроизводится

Ответ написан более трёх лет назад

2 комментария

Answer 2 · 2015-11-24 19:20:14

П*ц, простите.

location / {
set $root_access "Site in developing"; 
if ( $http_user_agent ~ GoogleImageProxy ){ set $root_access off; }
if ($remote_addr ~ "^(127.0.0.1|х.х.х.х)$"){ set $root_access off; }
auth_basic $root_access;
auth_basic_user_file htUserPasswds;
}
location /mail/ {
auth_basic "Corporate eMail";
auth_basic_user_file htUserPasswds;
}
location /share/ {}
location /Microsoft-Server-ActiveSync {}

Всю логику авторизации для каждого из location - внутри location. Все переменные - там же.

Как правильно реализовать логику авторизации пользователей?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт