使用 Lua 编写一个 Nginx 认证模块

过去两天里，我解决了一个非常有趣的问题。我用一个 Nginx服务器作为代理，需要能够向其中添加一个认证层，使其能够使用外部的认证源（比如某个web应用）来进行验证，如果用户在外部认证源有账号，就可以在代理里认证通过。

需求一览

我考虑了几种@R_502_6280@案，罗列如下：

用一个简单的Python/Flask模块来做代理和验证。
一个使用subrequests做验证的Nginx模块（Nginx目前可以做到这一点）
使用Lua编写一个 Nginxren认证模块

很显然，给整个系统添加额外请求将执行的不是很好，因为这将会增加延迟(特别是给每一个页面文件都增加一个请求是很让人烦恼的).这就意味着我们把subrequest模块排除在外了。Python/Flash@R_502_6280@案好像对Nginx 支持的也并不好，所以咱也把它排除了。就剩Lua了，当然Nginx对原生化支持得不错的。

因为我不想再扩展的服务器上对每一个请求都做认证，所以我决定生成一些令牌，这样人们就可以将它保存起来，并把它呈现给服务器，然后服务器就让请求通过。然而，因为Lua模块没有一种保持状态的方式(我已经发现)，所以我们不能将令牌随处存储。当你没有更多的内存时，怎样来验证用户所说的话呢？

解决问题

加密签名的方式可是咱的救星！我们可以拿用户的用户名和过期时间数据来给用户添加签名的cookies，这样就能很容易的验证每个用户是谁了，同时我们就不用令牌了。

在Nginx中，我们要做的就是直接在指定位置配置access_by_lua_file /our/file.lua，这样这个指定位置就可以保护我们的脚本了。现在，让我们一起来写代码：

 
 01
 
             -- Some variable declarations.
 
02
 
             local cookie = ngx.var.cookie_MyToken
 
03
 
            hmac = ""
 
04
 
            timestamp = ""
 
05
 
            timestamp_time = 0
 
06
 
07
 
            -- Check that the cookie exists.
 
08
 
            if cookie == nil or cookie:find(":") == then
 
09
 
                 -- Internally rewrite the URL so that we serve
 
10
 
            -- /auth/ if there's no cookie.
 
11
 
                ngx.exec("/auth/")
 
12
 
            else
 
13
 
            -- If there's a cookie,split off the HMAC signature
 
14
 
            -- and timestamp.
 
15
 
                divider = cookie:find(16
 
            hmac = cookie:sub(divider+1)
 
17
 
            timestamp = cookie:sub(0,divider-1)
 
18
 
            end
 
19
 
20
 
            -- Verify that the signature is valid.
 
21
 
            hmac_sha1("some very secret string",timestamp) ~= hmac or tonumber(timestamp) < os.time() then
 
22
 
            -- If invalid,send to /auth/ again.
 
23
 
            24
 
            end

上面的代码可以直接运行。我们用一些明文来签名(这种情况下用的是一个时间戳，当然你可以用任何你想用的),之后我们用密文生成HMAC(哈希信息认证码)，然后一个签名就生成了，这样用户就不能篡改为无效信息了。

当用户试图载入一个资源的时候，我们会检查cookie里面的签名是否有效，如果是，就通过他的请求。反之，我们会把他们重定向到一个发行口令的服务器，这个服务器会验证并且@H_249_404@在没有的情况下给予他们一个签名的口令。

明锐的你可能会发现，上面的代码存在时间上的漏洞。如果你没有发现，别难过。嗯，也许会有点难过。

这里是一段Lua的代码，用来比较两个字符串在恒定时间上的等值关系（因而能够阻止任何时间上的攻击，除非我忽视了什么，这极为可能@H_249_404@）：

function compare_strings(str1,str2)

@H_404_426@-- Constant-time string comparison function.

same = true

for i = 1,#str1 do

-- If the two strings' lengths are different,sub()

@H_404_426@-- will just return nil for the remaining length.

c1 = str1:sub(i,i)

c2 = str2:sub(i,i)

c1 ~= c2 false

end

return same

end

使用 Lua 编写一个 Nginx 认证模块

需求一览

解决问题

口令发行服务器

相关推荐