1、HTTP 基本身份驗證

需要通過 HTTP 基本身份驗證保護應(yīng)用或內(nèi)容。

生成以下格式的文件，其中的密碼使用某個受支持的格式進行了加密或哈希處理：

# comment 
name1:password1 
name2:password2:comment 
name3:password3

第一個字段是用戶名，第二個字段是密碼，冒號是分隔符。第三個字段為可選項，您可以使用該字段對每個用戶進行評論。NGINX 能理解幾種不同的密碼格式，其中一個是使用 C 函數(shù) crypt() 加密的密碼。該函數(shù)通過 openssl passwd 命令暴露在命令行中。安裝 openssl 后，您可以使用以下命令創(chuàng)建加密的密碼字符串：

$ openssl passwd MyPassword1234

輸出結(jié)果將是一個字符串，可供 NGINX 在密碼文件中使用。
在 NGINX 配置中使用 auth_basic 和 auth_basic_user_file 指令，實現(xiàn)基本身份驗證：

location / {auth_basic "Private site"; auth_basic_user_file conf.d/passwd;
}

您可以在 http、server 或 location 上下文中使用 auth_basic 指令。auth_basic 指令帶一個字符串參數(shù)，如有未經(jīng)授權(quán)的用戶訪問，該參數(shù)將顯示在基本身份驗證彈窗中。auth_basic_user_file 指定了用戶文件的路徑。
如要測試配置，您可以使用帶 -u 或 --user 標(biāo)志的 curl 來構(gòu)建請求的 Authorization 請
求頭：

$ curl --user myuser:MyPassword1234 https://localhost

詳解
您可以通過幾種方式生成具有不同格式和安全等級的基本身份驗證密碼。Apache 的htpasswd 命令也可以生成密碼。openssl 和 htpasswd 都可以使用 apr1 算法生成密碼，并且 NGINX 也能理解這種格式的密碼。該密碼也可以是輕型目錄訪問協(xié)議（LDAP）和 Dovecot 使用的 Salted SHA-1 格式。NGINX 支持其他更多格式和哈希算法；然而，許多算法容易遭到暴力破解攻擊，因此人們認為這些算法不安全。

您可以使用基本身份驗證來保護整個 NGINX 主機的上下文、特定的虛擬服務(wù)器甚至只是特定的 location 代碼塊?；旧矸蒡炞C不會取代 Web 應(yīng)用的用戶身份驗證，但可以保護私人信息的安全。實際上，基本身份驗證是由服務(wù)器返回 401 Unauthorized HTTP 代碼和響應(yīng)頭 WWW-Authenticate 完成的。該響應(yīng)頭的值為Basic realm=“your string”。收到此響應(yīng)后，瀏覽器將提示輸入用戶名和密碼。用戶名和密碼用冒號連接和分隔，然后用 base64 編碼，最后在名為 Authorization 的請求頭中發(fā)送。Authorization 請求頭將指定一個 Basic 和 user:password 編碼字符串。服務(wù)器對請求頭進行解碼，并根據(jù)提供的 auth_basic_user_file 進行驗證。由于用戶名和密碼字符串僅通過 base64 編碼，我們建議在基本身份驗證中使用 HTTPS。

2、身份驗證子請求

希望通過第三方身份驗證系對請求進行身份驗證。

使用 http_auth_request_module 請求訪問身份驗證服務(wù)，在響應(yīng)請求之前驗證身份：

location /private/ { auth_request /auth;auth_request_set $auth_status $upstream_status;
}
location = /auth { internal;proxy_pass http://auth-server; proxy_pass_request_body off; proxy_set_header Content-Length "";proxy_set_header X-Original-URI $request_uri;
}

auth_request 指令帶一個 URI 參數(shù)，該參數(shù)必須是本地內(nèi)部位置。auth_request_set 指令允許您設(shè)置身份驗證子請求的變量。
詳解
http_auth_request_module 可驗證 NGINX 服務(wù)器處理的每個請求的身份。該模塊將使用子請求來確定是否授予請求訪問權(quán)。子請求是指 NGINX 將請求傳遞給內(nèi)部替代位置，并在將請求路由到目的地之前觀察它的響應(yīng)。auth 位置將原始請求（包括正文和請求頭）傳遞到身份驗證服務(wù)器。子請求的 HTTP 狀態(tài)碼決定是否授予請求訪問權(quán)。如果子請求返回 HTTP 200 狀態(tài)碼，則表示身份驗證成功，請求已完成。如果子請求返回HTTP 401 或 403，則原始請求也將返回 HTTP 401 或 403。

如果您的身份驗證服務(wù)未請求請求正文，則可以使用 proxy_pass_request_body 指令刪除請求正文，如上所示。這種做法可減少請求的大小和時間。由于響應(yīng)正文被丟棄，Content-Length 請求頭必須設(shè)置為空字符串。如果身份驗證服務(wù)需要知道請求訪問的URI，則需要將該值放入身份驗證服務(wù)檢查和驗證的自定義請求頭中。如果您確實希望將子請求中的某些內(nèi)容保留給身份驗證服務(wù)（例如響應(yīng)頭或其他信息），您可以使用auth_request_set 指令從響應(yīng)數(shù)據(jù)中創(chuàng)建新的變量。

3、使用 NGINX Plus 驗證 JWT

需要在使用 NGINX Plus 處理請求之前驗證 JWT。

使用 NGINX Plus 的 HTTP JWT 身份驗證模塊來驗證令牌簽名，并將 JWT 聲明和請求頭作為 NGINX 變量嵌入：

location /api/ {auth_jwt "api"; auth_jwt_key_file conf/keys.json;
}

此配置可以驗證該位置的 JWT。auth_jwt 指令傳遞一個字符串，該字符串被用作身份驗證領(lǐng)域。auth_jwt 配置帶一個保存 JWT 的變量的可選令牌參數(shù)。默認情況下，根據(jù)JWT 標(biāo)準(zhǔn)使用 Authentication 請求頭。auth_jwt 指令還可用于從繼承的配置中消除所需的 JWT 身份驗證的影響。要關(guān)閉（off）身份驗證，只需將關(guān)鍵字傳遞給 auth_jwt 指令。要取消繼承的身份驗證要求，只需將 off 關(guān)鍵字傳遞到 auth_jwt 指令。auth_jwt_key_file 帶一個參數(shù)。該參數(shù)是采用標(biāo)準(zhǔn) JSON Web Key（JWK）格式的密鑰文件的路徑。
詳解
NGINX Plus 支持驗證 JSON Web 簽名類型的令牌，而不是將整個令牌進行加密的JSON Web 加密類型。NGINX Plus 支持驗證使用 HS256、RS256 和 ES256 算法簽名的簽名。使用 NGINX Plus 驗證令牌可以節(jié)省向身份驗證服務(wù)發(fā)出子請求所需的時間和資源。NGINX Plus 可破解 JWT 請求頭和有效載荷，并將標(biāo)準(zhǔn)請求頭和聲明捕獲到嵌入式變量中，供您使用。auth_jwt 指令可在 http、server、location 及 limit_except 上下文中使用。

參考資料
RFC JSON Web Signature 標(biāo)準(zhǔn)文檔
RFC JSON Web 算法標(biāo)準(zhǔn)文檔
RFC JSON Web Token 標(biāo)準(zhǔn)文檔
NGINX Plus JWT 身份驗證
“借助 JWT 和 NGINX Plus 驗證 API 客戶端身份”

4、創(chuàng)建 JSON Web Key

需要使用 JSON Web Key（JWK）才能使用 NGINX Plus。

NGINX Plus 使用 RFC 標(biāo)準(zhǔn)中指定的 JWK 格式。該標(biāo)準(zhǔn)允許在 JWK 文件中包含一個關(guān)鍵對象數(shù)組。
以下是該密鑰文件的示例：

{"keys":[{"kty":"oct","kid":"0001","k":"OctetSequenceKeyValue"},{"kty":"EC","kid":"0002""crv":"P-256","x": "XCoordinateValue","y": "YCoordinateValue","d": "PrivateExponent","use": "sig"},{"kty":"RSA","kid":"0003""n": "Modulus","e": "Exponent","d": "PrivateExponent"}]
}

所示的 JWK 文件演示了 RFC 標(biāo)準(zhǔn)中指出的三類初始密鑰。這些密鑰的格式也是 RFC 標(biāo)準(zhǔn)的一部分。kty 屬性是密鑰類型。該文件顯示了三種密鑰類型：Octet Sequence（oct）、EllipticCurve（EC）和 RSA 類型。kid 屬性是密鑰 ID。這些密鑰的標(biāo)準(zhǔn)中指定了其他屬性。更多信息請查看這些標(biāo)準(zhǔn)的 RFC 文檔。
詳解
有許多提供不同語言的庫可以生成 JWK。建議創(chuàng)建一個密鑰服務(wù)，作為 JWK 的中央權(quán)限，以定期創(chuàng)建和輪換您的 JWK。為了增強安全性，建議讓 JWK 與 SSL/TLS 證書一樣安全。使用適當(dāng)?shù)挠脩艉徒M權(quán)限保護密鑰文件。最好將它們保存在主機的內(nèi)存中。您可以通過創(chuàng)建類似 ramfs 的內(nèi)存文件系統(tǒng)來實現(xiàn)。定期輪換密鑰也很重要；您可以選擇創(chuàng)建一個密鑰服務(wù)來創(chuàng)建公鑰和私鑰，并通過 API 將它們提供給應(yīng)用和 NGINX。
參考資料
RFC JSON Web Key 標(biāo)準(zhǔn)文檔

5、使用 NGINX Plus 驗證 JSON Web Token

使用 NGINX Plus 驗證 JSON Web Token。

使用 NGINX Plus 自帶的 JWT 模塊保護位置或服務(wù)器，并指示 airt_jwt 指令使用$cookie_auth_token 作為要驗證的令牌：

location /private/ {auth_jwt "Google Oauth" token=$cookie_auth_token; auth_jwt_key_file /etc/nginx/google_certs.jwk;
}

此配置指示 NGINX Plus 通過 JWT 驗證保護 /private/ URI 路徑。Google OAuth 2.0 OpenID Connect 使用 cookie auth_token 而不是默認的 bearer 令牌。因此，您必須指示 NGINX 在此 cookie 中查找令牌，而不是在 NGINX Plus 的默認位置中查找。我們將在實操指南 6.6 中介紹如何將 auth_jwt_key_file 位置設(shè)置為任意路徑。
詳解
此配置說明了如何使用 NGINX Plus 驗證 Google OAuth 2.0 OpenID Connect JWT。NGINX Plus 的 HTTP JWT 身份驗證模塊支持驗證符合 RFC JSON Web Signature 規(guī)范的 JWT，允許任何使用 JWT 的 SSO 授權(quán)立即在 NGINX Plus 層中進行驗證。OpenID 1.0 協(xié)議層位于 OAuth 的上面。OpenID 2.0 身份驗證協(xié)議添加了身份，支持使用 JWT 來證明發(fā)送請求的用戶的身份。NGINX Plus 可通過令牌的簽名驗證令牌自簽名以來是否經(jīng)過修改。這允許 Google 使用一種異步簽名方法，可在保護其私人JWK 的同時分發(fā)公共 JWK。
參考資料
“借助 JWT 和 NGINX Plus 驗證 API 客戶端身份”

6、使用 NGINX Plus 自動獲取和緩存 JSON Web Key Set

希望 NGINX Plus 自動請求提供商的 JSON Web Key Set（JWKS）并進行緩存。

利用緩存區(qū)和 auth_jwt_key_request 指令自動更新密鑰：

proxy_cache_path /data/nginx/cache levels=1 keys_zone=foo:10m;
server {# ...location / {auth_jwt "closed site";auth_jwt_key_request /jwks_uri;}location = /jwks_uri {internal;proxy_cache foo;proxy_pass https://idp.example.com/keys;}
}

在此示例中，auth_jwt_key_request 指令指示 NGINX Plus 從內(nèi)部子請求中檢索 JWK。該子請求被定向到 /jwks_uri，后者將請求代理給身份提供商。默認請求緩存時間為 10 分鐘，以限制開銷。
詳解
NGINX Plus R17 中引入了 auth_jwt_key_request 指令。此功能支持 NGINX Plus 服務(wù)器在發(fā)出請求時動態(tài)更新其 JWK。使用子請求方法來獲取 JWK，這意味著指令指向的位置必須是 NGINX Plus 服務(wù)器本地的位置。在上面的示例中，子請求的位置被鎖定，以確保僅響應(yīng)內(nèi)部的 NGINX Plus 請求。還可使用緩存來確保僅在必要時發(fā)出 JWK 檢索請求，并且不會導(dǎo)致身份提供商過載。auth_jwt_key_request 指令在 http、server、location 和 limit_except 上下文中有效。
參考資料
“借助 JWT 和 NGINX Plus 驗證 API 客戶端身份”
NGINX Plus“借助 JSON Web Key Set 緩存加快 JWT 驗證”

7、使用 NGINX Plus 通過現(xiàn)有的 OpenID Connect SSO 驗證用戶身份

希望將 NGINX Plus 與 OpenID Connect（OIDC）身份提供商集成在一起。

該解決方案由許多配置要素和一些 NGINX JavaScript 代碼組成。身份提供商（IdP）必須支持 OpenID Connect 1.0。NGINX Plus 將在授權(quán)代碼流中充當(dāng) OIDC 的中繼方。NGINX Inc. 維護了一個 GitHub 公共倉庫，該倉庫包含作為 OIDC 與 NGINX Plus 集成參考實現(xiàn)的配置和代碼。“其他參考資料”部分中的倉庫鏈接提供了關(guān)于如何使用自己的 IdP 設(shè)置參考實現(xiàn)的最新說明。

詳解
該解決方案只與參考實現(xiàn)有關(guān)，可確保各位讀者擁有最新的解決方案。提供的參考將NGINX Plus 配置為 OpenID Connect 1.0 授權(quán)代碼流的中繼方。在此配置中，如果將對受保護資源未經(jīng)授權(quán)的請求發(fā)送到 NGINX Plus，NGINX Plus 首先會將該請求重定向到 IdP。IdP 會讓客戶端完成自己的登錄流程，然后向 NGINX Plus 返回一個身份驗證代碼。然后，NGINX Plus 直接與 IdP 通信，用身份驗證代碼交換一組 ID 令牌。這些令牌使用 JWT 進行驗證，并存儲在 NGINX Plus 的鍵值（key-value）存儲中。通過使用鍵值存儲，采用高可用性（HA）配置的所有 NGINX Plus 節(jié)點都能獲得這組令牌。在這個過程中，NGINX Plus 為客戶端生成了一個會話 cookie，該 cookie 被用于在鍵值存儲中查找令牌的密鑰。然后，客戶端的 cookie 被重定向到初始請求的資源。隨后的請求將通過使用 cookie 查找 NGINX Plus 鍵值存儲中的 ID 令牌來進行驗證。

該功能支持與大多數(shù)主要身份提供商進行集成，包括 CA 單點登錄（以前稱為SiteMinder）、ForgeRock OpenAM、Keycloak、Okta、OneLogin 和 Ping Identity。作為一項標(biāo)準(zhǔn)，OIDC 與身份驗證密切相關(guān) —— 前面提到的身份提供商只是可能集成的一個子集。
參考資料
“借助 OpenID Connect 和 NGINX Plus 對訪問當(dāng)前應(yīng)用的用戶進行身份驗證”
OpenID Connect
NGINX OpenID Connect GitHub