Можно ли реализовать OIDC перед Nginx Stream с помощью OpenResty?

Я хотел бы знать, возможно ли использовать модуль OIDC OpenResty в качестве прокси-сервера аутентификации в конфигурации потока NGINX.

(У меня нет доступа к NGINX Plus, к сожалению)

В прошлом я использовал NGINX с конфигурациями Stream для прокси-доступа к вышестоящим tcp-ресурсам, и это работает как чудо.

В настоящее время я рассматриваю реализацию прокси-сервера OIDC перед различными ресурсами, как статическими html, так и динамическими приложениями, потому что у нас есть собственный поставщик IDAM OIDC. Я столкнулся с OpenResty, и в частности с модулем lua-resty-oidc, и благодаря некоторым замечательным руководствам ( https://medium.com/@technospace/nginx-as-an-openid-connect-rp-with-wso2-identity-server-part-1-b9a63f9bef0a, https://developers.redhat.com/blog/2018/10/08/configuring-nginx-keycloak-oauth-oidc/), я получил это за мгновение для статического страниц, используя http-сервер nginx config.

Я не могу заставить это работать для потоковых конфигураций все же. Похоже, что потоковый модуль включен как стандарт для OpenResty, но, копаясь, я не думаю, что функция access_by_lua_block разрешена в контексте потока.

Это может просто не поддерживаться, что вполне справедливо, если просить о большой работе других людей, но мне было интересно, было ли в будущем намерение включить suport в OpenResty / lua-resty-oidc или кто-нибудь знал о хорошем обходном пути,

Это была моя наивная попытка заставить его работать, но сервер жалуется на команду "access_by_lua_block" во время выполнения.

2019/08/22 08:20:44 [emerg] 1#1: "access_by_lua_block" directive is not allowed here in /usr/local/openresty/nginx/conf/nginx.conf:49
nginx: [emerg] "access_by_lua_block" directive is not allowed here in /usr/local/openresty/nginx/conf/nginx.conf:49

events {
  worker_connections 1024;
}

stream {

  lua_package_path "/usr/local/openresty/?.lua;;";  

  resolver 168.63.129.16;  

  lua_ssl_trusted_certificate /etc/ssl/certs/ca-certificates.crt;
  lua_ssl_verify_depth 5;  

  # cache for discovery metadata documents
  lua_shared_dict discovery 1m;
  # cache for JWKs
  lua_shared_dict jwks 1m;  

  upstream geyser {

    server geyser-api.com:3838;

  }

  server {

    listen 443 ssl;    

    ssl_certificate /usr/local/openresty/nginx/ssl/nginx.crt;
    ssl_certificate_key /usr/local/openresty/nginx/ssl/nginx.key;    

    access_by_lua_block {

        local opts = {
           redirect_uri_path = "/redirect_uri",
           discovery = "https://oidc.provider/discovery",
           client_id = "XXXXXXXXXXX",
           client_secret = "XXXXXXXXXXX",
           ssl_verify = "no",
           scope = "openid",
           redirect_uri_scheme = "https",
        }

        local res, err = require("resty.openidc").authenticate(opts)

        if err then
          ngx.status = 500
          ngx.say(err)
          ngx.exit(ngx.HTTP_INTERNAL_SERVER_ERROR)
        end

        ngx.req.set_header("X-USER", res.id_token.sub)
    }

    proxy_pass geyser;

  }
}

У кого-нибудь есть совет?