我目前正在使用 HAProxy 的
http-request authHTTP_AUTH_USER我可以通过
http_auth_group我很感激我可以将此操作移至 Web 服务器,但当我可以通过代理在 2 个地方执行此操作时,我宁愿不在 10 台计算机上管理少量用户名和密码。
http_auth_group因此它有两个目的:测试其真实性以确定该组的任何成员是否已验证该请求,或者提取用户名。 所以...
http-request set-header X-Username %[http_auth_group(GROUP_NAME)]
...将删除传入请求中的任何
X-Username:X-Usernane:使用
set-headeradd-header我也有类似的问题,但我不能使用 basic-auth 列表和
http_auth_groupuser经过多次尝试 LUA 脚本,我做出了更简单的解决方案:
defaults
(...)
# I need SSL protocol and user at the end of log:
log-format "%ci:%cp (...) %sslv user=%[var(txn.user)]"
frontend example
(...)
#Use header "authorization", use string after "Basic ", decode with base64, use string before ":"
http-request set-var(txn.user) req.hdr(Authorization),regsub(Basic\s*,),b64dec,field(1,:) if { req.hdr(Authorization) -m found }
您必须意识到,在这种情况下(后端服务器上的基本身份验证,而不是 HaProxy)使用此标头进行 ACL 可能不安全:变量
txn.useruser