Можно ли использовать кэш для авторизованных заголовком Bearer запросов NGINX?

Question

[grabbee]

Authorization: Bearer - короткоживущим токеном (1-5минут)

Можно ли и как настроить кэширование таких запросов в NGINX

Если я напишу fastcgi_cache_valid 30s; в

location ~ ^/index\.php(/|$) {
        fastcgi_pass unix:/var/run/php/php7.4-fpm.sock;
        fastcgi_split_path_info ^(.+\.php)(/.*)$;
        include fastcgi_params;
          fastcgi_cache_lock on;
          fastcgi_cache phpcache;
          fastcgi_cache_valid 30s;

То кэширует всё

Comments

[Владимир Коротенко]

Нгинкс он туповатый что настроили то и отдаёт, заголовок же сообщает клиенту что вот этот адрес будет актуален вот до этого момента принять это или не принять дело клиента

[grabbee]

А авторизация если нужна он 403 и 401 не станет вообще кэшировать. Праильно?

[grabbee]

Хотя нет. Если я авторизован, он положит мой ответ в кэш и будет его раздавать всем наверное

Answer 1

[Eugene]

app:

# Cache for internal auth checks
proxy_cache_path /usr/local/var/nginx/cache/auth levels=1:2 keys_zone=auth_cache:10m max_size=128m inactive=10m use_temp_path=off;
# Cache for content
proxy_cache_path /usr/local/var/nginx/cache/resx levels=1:2 keys_zone=content_cache:16m max_size=128m inactive=5m use_temp_path=off;
server {
    listen 443 ssl http2;
    server_name ........;

    include /usr/local/etc/nginx/include-auth-internal.conf;

    location /api/v1 {
        # Auth magic happens here
        auth_request         /auth;
        auth_request_set     $user $upstream_http_X_User_Id;
        auth_request_set     $customer $upstream_http_X_Customer_Id;
        auth_request_set     $permissions $upstream_http_X_Permissions;

        # The backend app, once Nginx has performed internal auth.
        proxy_pass           http://127.0.0.1:5000;
        proxy_set_header     X-User-Id $user;
        proxy_set_header     X-Customer-Id $customer;
        proxy_set_header     X-Permissions $permissions;

        # Cache content
        proxy_cache          content_cache;
        proxy_cache_key      "$request_method-$request_uri";
    }
    location /api/v1/Logout {
        auth_request         /auth/logout;
    }

}

auth:

# Called before every request to backend
location = /auth {
    internal;
    proxy_cache             auth_cache;
    proxy_cache_methods     GET HEAD POST;
    proxy_cache_key         "$cookie_token";
    # Valid tokens cache duration is set by backend returning a properly set Cache-Control header
    # Invalid tokens are shortly cached to protect backend but not flood Nginx cache
    proxy_cache_valid       401 30s;
    # Valid tokens are cached for 5 minutes so we can get the backend to re-validate them from time to time
    proxy_cache_valid       200 5m;
    proxy_pass              http://127.0.0.1:1234/auth/_Internal;
    proxy_set_header        Host ........;
    proxy_pass_request_body off;
    proxy_set_header        Content-Length "";
    proxy_set_header        Accept application/json;
}

# To invalidate a not expired token, use a specific backend endpoint.
# Then we cache the token invalid/401 response itself.
location = /auth/logout {
    internal;
    proxy_cache             auth_cache;
    proxy_cache_key         "$cookie_token";
    # Proper caching duration (> token expire date) set by backend, which will override below default duration
    proxy_cache_valid       401 30m;
    # A Logout requests forces a cache refresh in order to store a 401 where there was previously a valid authorization
    proxy_cache_bypass      1;

    # This backend endpoint always returns 401, with a cache header set to the expire date of the token
    proxy_pass              http://127.0.0.1:1234/auth/_Internal/Logout;
    proxy_set_header        Host ........;
    proxy_pass_request_body off;
}

Comments

[grabbee]

proxy_cache_key "$cookie_token"; - не понятно откуда и как вы достаете эту переменную. Куки у меня не используются, только заголовок Authorization: Bearer Прокси я пока не использую, пробую кэшировать через fastcgi_cache

[Eugene]

grabbee, в NGINX можно получить доступ к куки через $cookie_ЛЮБОЕ_ИМЯ_КУКИСА_ЗДЕСЬ;
Читаем в документации: nginx.org/en/docs/http/ngx_http_core_module.html#v...
По поводу остального - (рукалицо)

[grabbee]

А что не так то ?)