nginx - njs - ngx_http_auth_request_module 如何向用户 return 302?

nginx - njs - ngx_http_auth_request_module how to return 302 to user?

我正在使用 njs ngx_http_auth_request_module。

我有这样的js函数;

function introspectAccessToken(r) {
    r.subrequest("/_oauth2_send_request",
        function(reply) {
            if (reply.status == 200) {
                r.return(204); // Token is valid, return success code
            } else {
                // need 302 here
            }
        }
    );
}

文档说“如果子请求 return 是 2xx 响应代码,则允许访问。如果它 return 是 401 或 403,则访问被拒绝并显示相应的错误代码。任何由子请求编辑的其他响应代码 return 被视为错误。” http://nginx.org/en/docs/http/ngx_http_auth_request_module.html

如果 subsequest 进入“else”块,我需要 return 302 给用户。

有什么办法可以实现吗?如果我设置 r.return(302),它会在浏览器中显示错误页面,如文档所述。

编辑:我的 nginx.conf

location /my-webclient {
    auth_request /_oauth2_token_introspection;
    root   /usr/share/nginx/html;
    rewrite ^ /hmb-profile-webclient/index.html break;
}       

location = /_oauth2_token_introspection {
    internal;
    js_content introspectAccessToken;                                       
}   

location /_oauth2_send_request {
    internal;
    proxy_method      POST;
    proxy_set_body    $cookie_jwt;
    proxy_pass http://my-specific-url;
}   

http://my-specific-url returns

知道了 - 我认为您甚至不需要 njs 来执行此操作。如果您的令牌自省端点不是使用 NJS 构建的,并且它不验证令牌是否有效 json 但它是用其他语言实现的,则此 NGINX 配置将起作用。

#cache for auth_request responses

proxy_cache_path /var/cache/nginx/oauth keys_zone=token_responses:1m max_size=2m;

#Your Server
server {

  listen 80;


  location / {
    #Redirect Unauthed Request to some other location... 
    error_page 401 =302 http://localhost:9000/login;
  
    auth_request /_auth_request;
    proxy_pass http://127.0.0.1:8080;


  }

  location /_auth_request {
    internal;
    proxy_pass http://127.0.0.1:8090;
    ###place caching responses here to be more effective;
    proxy_cache           token_responses; # Enable caching
    proxy_cache_key       $cookie_jwt;    # Cache for each access token
    proxy_cache_lock      on;              # Duplicate tokens must wait
    proxy_cache_valid     200 10s;         # How long to use each response
    proxy_ignore_headers  Cache-Control Expires Set-Cookie;
  }


}

....

如果您想使用 NJS 构建更多逻辑,例如验证令牌结构,您的方法是使用带有 js_set.

的 NJS 的正确方法
js_include oauth2.js; # Location of JavaScript code

server {
    listen 80;

    location / {
        error_page 401 403 =302 http://localhost:9000/login;
        auth_request /_oauth2_token_introspection;
        proxy_pass http://my_backend;
    }

    location = /_oauth2_token_introspection {
        internal;
        js_content introspectAccessToken;                                       
    }

njs函数

function introspectAccessToken(r) {
    r.subrequest("/_oauth2_send_request",
        function(reply) {
            if (reply.status == 200) {
                var response = JSON.parse(reply.responseBody);
                if (response.active == true) {
                    r.return(204); // Token is valid, return success code
                } else {
                    r.return(403); // Token is invalid, return forbidden code
                }
            } else {
                r.return(401); // Unexpected response, return 'auth required'
            }
        }
    );
}

error_page 指令同样有效。根据您的代码,我假设您已经阅读了这篇文章?

https://www.nginx.com/blog/validating-oauth-2-0-access-tokens-nginx/

ICYMI 这是一个很棒的博客 post 关于这个用例。