
하위 요청 결과에 기반한 인증
NGINX Plus 는 요청을 처리하는 동안 LDAP 또는 OAuth와 같은 외부 인증 서비스에 재요청하여 클라이언트를 인증합니다.
목차
1. 소개
2. 전제 조건
3. NGINX 및 NGINX Plus 구성
4. 전체 예제
1. 소개
NGINX와 NGINX Plus 는 외부 서버 또는 서비스를 통해 웹사이트에 대한 각 요청을 인증할 수 있습니다. 인증을 수행하기 위해 NGINX는 HTTP 하위 요청을 외부 서버에 보내 하위 요청을 확인합니다. 하위 요청이 2xx
응답 코드를 반환하면 액세스가 허용되고, 401
또는 403
을 반환하면 액세스가 거부됩니다. 이러한 인증 유형을 사용하면 다중 인증과 같은 다양한 인증 체계를 구현하거나 LDAP 또는 OAuth 인증을 구현할 수 있습니다.
2. 전제 조건
- NGINX Plus 또는 NGINX Open Source
- 외부 인증 서버 또는 서비스
3. NGINX 및 NGINX Plus 구성
1. NGINX Open Source가 with-http_auth_request_module
구성 옵션으로 컴파일되었는지 확인합니다. 이 명령을 실행하고 출력에 --with-http_auth_request_module
이 포함되어 있는지 확인합니다.
$ nginx -V 2>&1 | grep -- 'http_auth_request_module'
NGINX Plus의 경우 auth_request 모듈이 이미 포함되어 있으므로 이 단계를 건너뜁니다.
2. 요청 인증이 필요한 위치에서 인증 하위 요청을 전달할 내부 위치를 지정하는 auth_request
지시문을 지정합니다.
location /private/ {
auth_request /auth;
#...
}
여기서 /private
에 대한 각 요청에 대해 내부 /auth
위치에 대한 하위 요청이 이루어집니다.
3. 해당 위치 내부에 인증 하위 요청을 인증 서버 또는 서비스로 Proxy할 내부 위치에 proxy_pass 지시문을 지정합니다.
location = /auth {
internal;
proxy_pass http://auth-server;
#...
}
4. 인증 하위 요청에 대해 요청 본문이 삭제되므로 proxy_pass_request_body
지시문을 off로 설정하고 Content-Length
헤더도 null
문자열로 설정해야 합니다.
location = /auth {
internal;
proxy_pass http://auth-server;
proxy_pass_request_body off;
proxy_set_header Content-Length "";
#...
}
5. 인수가 포함된 전체 원본 요청 URI를 proxy_set_header
지시문과 함께 전달합니다.
location = /auth {
internal;
proxy_pass http://auth-server;
proxy_pass_request_body off;
proxy_set_header Content-Length "";
proxy_set_header X-Original-URI $request_uri;
}
6. 옵션으로 auth_request_set 지시문을 사용하여 하위 요청의 결과를 기반으로 변수 값을 설정할 수 있습니다.
location /private/ {
auth_request /auth;
auth_request_set $auth_status $upstream_status;
}
4. 전체 예제
이 예제는 이전 단계를 하나의 구성으로 요약한 것입니다.
http {
#...
server {
#...
location /private/ {
auth_request /auth;
auth_request_set $auth_status $upstream_status;
}
location = /auth {
internal;
proxy_pass http://auth-server;
proxy_pass_request_body off;
proxy_set_header Content-Length "";
proxy_set_header X-Original-URI $request_uri;
}
}
}