使用 NginX 代理管理器,我试图绕过 JWT 身份验证。在此示例中,我将使用 NginX 代理管理器 Web GUI,因为它使用 JWT 身份验证。
从我的设备,我可以成功地从远程服务器获取新令牌(有效期为一天或更短),但遗憾的是不再支持长期令牌:
curl 'http://localhost:81/api/tokens' \
-H 'Content-Type: application/json; charset=UTF-8' \
--data-raw '{"identity":"[Your Email]","secret":"[Your Secret]"}' \
--compressed
我尝试创建值的 JWT 令牌
{"identity":"[Your Email]","secret":"[Your Secret]"}proxy_set_header Authorization "Bearer jwt-token";
proxy_pass_header Authorization;
遗憾的是没有成功。有没有一种方法可以使用 NginX 获取 JWT 令牌并进行身份验证?
这里我使用 NPM Web UI 作为示例,因为它使用 JWT 身份验证。这可以应用于大多数使用类似身份验证的 Web 应用程序。 在本例中,我创建了一个具有登录多个服务的特殊权限的组,但您可以在用户级别上执行此操作。在组/用户中添加以下带有正确
user/passnginx_password: pass
nginx_username: user
additionalHeaders:
X-Nginx-Token: null
在 Property Mappings 下创建一个新的 Scoop Mapping。名称是 NginX Token,Scoop 名称必须是 ak_proxy,否则 NginX 无法调用适当的标头。将表达式从 group_attributes() 调整为基于用户的身份验证的属性。 表达式应如下所示:
import json
from urllib.parse import urlencode
from urllib.request import Request, urlopen
nginxuser = request.user.group_attributes().get("nginx_username", "")
nginxpass = request.user.group_attributes().get("nginx_password", "")
base_url = "http://nginx:81"
end_point = "/api/tokens"
json_data = {'identity': nginxuser,'secret': nginxpass}
postdata = json.dumps(json_data).encode()
headers = {"Content-Type": "application/json; charset=UTF-8"}
httprequest = Request(base_url + end_point, data=postdata, method="POST", headers=headers)
with urlopen(httprequest) as response:
responddata = json.loads(response.read().decode())
return {
"ak_proxy": {
"user_attributes": {
"additionalHeaders": {
"X-Nginx-Token": responddata['token']
}
}
}
}
表达式将获取一个新的身份验证令牌,可以通过 X-Nginx-Token 标头访问该令牌。 创建一个代理提供程序并确保包含我们刚刚创建的 Scoop。 在 NPM 中我添加了这个配置。不要忘记更改 Authentik 服务器地址
proxy_buffers 8 16k;
proxy_buffer_size 32k;
# Make sure not to redirect traffic to a port 4443
port_in_redirect off;
location / {
proxy_pass $forward_scheme://$server:$port;
##############################
# authentik-specific config
##############################
auth_request /outpost.goauthentik.io/auth/nginx;
error_page 401 = u/goauthentik_proxy_signin;
auth_request_set $auth_cookie $upstream_http_set_cookie;
add_header Set-Cookie $auth_cookie;
# Here we call the Header we created and use the Token that Authentik fetched for us
auth_request_set $authentik_auth $upstream_http_x_nginx_token;
proxy_set_header Authorization "Bearer ${authentik_auth}";
proxy_pass_header Authorization;
}
# all requests to /outpost.goauthentik.io must be accessible without authentication
location /outpost.goauthentik.io {
# When using the embedded outpost, use:
proxy_pass https://authentik-server:9443/outpost.goauthentik.io;
# Note: ensure the Host header matches your external authentik URL:
proxy_set_header Host $host;
proxy_set_header X-Original-URL $scheme://$http_host$request_uri;
add_header Set-Cookie $auth_cookie;
auth_request_set $auth_cookie $upstream_http_set_cookie;
proxy_pass_request_body off;
proxy_set_header Content-Length "";
}
# Special location for when the /auth endpoint returns a 401,
# redirect to the /start URL which initiates SSO
location u/goauthentik_proxy_signin {
internal;
add_header Set-Cookie $auth_cookie;
return 302 /outpost.goauthentik.io/start?rd=$request_uri;
# For domain level, use the below error_page to redirect to your authentik server with the full redirect path
# return 302 https://authentik.company/outpost.goauthentik.io/start?rd=$scheme://$http_host$request_uri;
}
应该是这样。我尝试了一下,效果非常好