Может ли блестяще определить, кто вошел в nginx обратный прокси
Я успешно внедрил обратный прокси-сервер nginx для моего сервера поставки, чтобы иметь SSL и аутентификацию пользователя. Тем не менее, есть еще пробел, который я не могу понять. Есть ли способ для моего блестящего приложения, чтобы определить, какой пользователь на самом деле вошел в систему?
Вот мой /etc/nginx/sites-available/default
server {
listen 80;
return 301 https://$host$request_uri;
}
server {
listen 443;
server_name myserver.com;
ssl_certificate /etc/nginx/cert.crt;
ssl_certificate_key /etc/nginx/cert.key;
ssl on;
ssl_session_cache builtin:1000 shared:SSL:10m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers HIGH:!aNULL:!eNULL:!EXPORT:!CAMELLIA:!DES:!MD5:!PSK:!RC4;
ssl_prefer_server_ciphers on;
access_log /var/log/nginx/shiny.log;
location / {
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
# Fix the “It appears that your reverse proxy set up is broken" error.
proxy_pass http://localhost:3838;
proxy_read_timeout 90;
proxy_redirect http://localhost:3838 https://myserver.com;
auth_basic "Restricted";
auth_basic_user_file /etc/nginx/.htpasswd;
proxy_set_header Authorization $http_authorization;
proxy_pass_header Authorization;
}
}
С последними двумя строками моего местоположения я ожидаю заголовок с именем пользователя. Я нашел этот совет здесь. Я нашел это, что позволяет мне видеть информацию моего заголовка, но ни один из заголовков, которые я вижу, не является моим именем пользователя.
Редактировать:
С цитированием Берта Нефа я понимаю, почему вышесказанное не сработало. Однако сервер имеет доступ к заголовку HTTP_SEC_WEBSOCKET_KEY, который является уникальным для всех сеансов. Похоже, что если мы сможем заставить Nginx записать это значение, то сервер сможет просмотреть этот код, чтобы сопоставить заголовок с реальным пользователем. При этом я не знаю, возможно ли это, и я не знаю, как заставить Nginx записать это значение.
1 ответ
Основанный на Shiny Docs, это только функция Shiny Server Professional, и вам нужно использовать директиву whitelist_headers, чтобы получить эти заголовки:
4.9 Прокси-заголовки Как правило, HTTP-заголовки, отправляемые на Shiny Server, не будут перенаправляться в основное приложение Shiny. Однако Shiny Server Professional может перенаправлять указанные заголовки в приложение Shiny с помощью директивы конфигурации whitelist_headers, которая может быть установлена глобально или для конкретного сервера или местоположения.
Обновление: только что протестировал опцию белых заголовков в непрофессиональной установке блестящего сервера, и я не могу отобразить пользовательские заголовки. Я проверил, что заголовки были отправлены nginx, используя netcat, чтобы показать мне входящие данные (nc -l 8080 и быстрое изменение proxy_pass в файле nginx.conf).
Обновление 2: не удается заставить NGINX регистрировать заголовок HTTP_SEC_WEBSOCKET_KEY (заголовок авторизации регистрируется после указания его в спецификации журнала), и я не вижу его в трафике между nginx и Shiny Server, я думаю, что это либо сводится к получить Shiny Server Professional или модифицировать блестящий исходный код для передачи заголовка авторизации приложению.