NGINX Plus

하위 요청 결과에 기반한 인증

NGINX Plus 는 요청을 처리하는 동안 LDAP 또는 OAuth와 같은 외부 인증 서비스에 재요청하여 클라이언트를 인증합니다.

목차

1. 소개
2. 전제 조건
3. NGINX 및 NGINX Plus 구성
4. 전체 예제

1. 소개

NGINX와 NGINX Plus 는 외부 서버 또는 서비스를 통해 웹사이트에 대한 각 요청을 인증할 수 있습니다. 인증을 수행하기 위해 NGINX는 HTTP 하위 요청을 외부 서버에 보내 하위 요청을 확인합니다. 하위 요청이 2xx 응답 코드를 반환하면 액세스가 허용되고, 401 또는 403을 반환하면 액세스가 거부됩니다. 이러한 인증 유형을 사용하면 다중 인증과 같은 다양한 인증 체계를 구현하거나 LDAP 또는 OAuth 인증을 구현할 수 있습니다.

2. 전제 조건

  • NGINX Plus 또는 NGINX Open Source
  • 외부 인증 서버 또는 서비스

3. NGINX 및 NGINX Plus 구성

1. NGINX Open Source가 with-http_auth_request_module 구성 옵션으로 컴파일되었는지 확인합니다. 이 명령을 실행하고 출력에 --with-http_auth_request_module이 포함되어 있는지 확인합니다.

$ nginx -V 2>&1 | grep -- 'http_auth_request_module'

NGINX Plus의 경우 auth_request 모듈이 이미 포함되어 있으므로 이 단계를 건너뜁니다.

2. 요청 인증이 필요한 위치에서 인증 하위 요청을 전달할 내부 위치를 지정하는 auth_request 지시문을 지정합니다.

location /private/ {
    auth_request /auth;
    #...
}

여기서 /private에 대한 각 요청에 대해 내부 /auth 위치에 대한 하위 요청이 이루어집니다.

3. 해당 위치 내부에 인증 하위 요청을 인증 서버 또는 서비스로 Proxy할 내부 위치에 proxy_pass 지시문을 지정합니다.

location = /auth {
    internal;
    proxy_pass http://auth-server;
    #...
}

4. 인증 하위 요청에 대해 요청 본문이 삭제되므로 proxy_pass_request_body 지시문을 off로 설정하고 Content-Length 헤더도 null 문자열로 설정해야 합니다.

location = /auth {
    internal;
    proxy_pass              http://auth-server;
    proxy_pass_request_body off;
    proxy_set_header        Content-Length "";
    #...
}

5. 인수가 포함된 전체 원본 요청 URI를 proxy_set_header 지시문과 함께 전달합니다.

location = /auth {
    internal;
    proxy_pass              http://auth-server;
    proxy_pass_request_body off;
    proxy_set_header        Content-Length "";
    proxy_set_header        X-Original-URI $request_uri;
}

6. 옵션으로 auth_request_set 지시문을 사용하여 하위 요청의 결과를 기반으로 변수 값을 설정할 수 있습니다.

location /private/ {
    auth_request        /auth;
    auth_request_set $auth_status $upstream_status;
}

4. 전체 예제

이 예제는 이전 단계를 하나의 구성으로 요약한 것입니다.

http {
    #...
    server {
    #...
        location /private/ {
            auth_request     /auth;
            auth_request_set $auth_status $upstream_status;
        }

        location = /auth {
            internal;
            proxy_pass              http://auth-server;
            proxy_pass_request_body off;
            proxy_set_header        Content-Length "";
            proxy_set_header        X-Original-URI $request_uri;
        }
    }
}