歡迎來到Linux教程網
Linux教程網
Linux教程網
Linux教程網
您现在的位置: Linux教程網 >> UnixLinux >  >> Linux編程 >> Linux編程

使用 Lua 編寫一個 Nginx 認證模塊

過去兩天裡,我解決了一個非常有趣的問題。我用一個nginx服務器作為代理,需要能夠向其中添加一個認證層,使其能夠使用外部的認證源(比如某個web應用)來進行驗證,如果用戶在外部認證源有賬號,就可以在代理裡認證通過。

需求一覽

我考慮了幾種解決方案,羅列如下:

  • 用一個簡單的Python/Flask模塊來做代理和驗證。
  • 一個使用subrequests做驗證的nginx模塊(nginx目前可以做到這一點)
  • 使用Lua編寫一個nginxren認證模塊

很顯然,給整個系統添加額外請求將執行的不是很好,因為這將會增加延遲(特別是給每一個頁面文件都增加一個請求是很讓人煩惱的).這就意味著我們把subrequest模塊排除在外了。Python/Flash解決方案好像對nginx支持的也並不好,所以咱也把它排除了。就剩Lua了,當然nginx對原生化支持得不錯的。

因為我不想再擴展的服務器上對每一個請求都做認證,所以我決定生成一些令牌,這樣人們就可以將它保存起來,並把它呈現給服務器,然後服務器就讓請求通過。然而,因為Lua模塊沒有一種保持狀態的方式(我已經發現),所以我們不能將令牌隨處存儲。當你沒有更多的內存時,怎樣來驗證用戶所說的話呢?

解決問題

加密簽名的方式可是咱的救星!我們可以拿用戶的用戶名和過期時間數據來給用戶添加簽名的cookies,這樣就能很容易的驗證每個用戶是誰了,同時我們就不用令牌了。

在nginx中,我們要做的就是直接在指定位置配置access_by_lua_file /our/file.lua,這樣這個指定位置就可以保護我們的腳本了。現在,讓我們一起來寫代碼:

-- Some variable declarations.
local cookie = ngx.var.cookie_MyToken
local hmac = ""
local timestamp = ""
local timestamp_time = 0

-- Check that the cookie exists.
if cookie == nil or cookie:find(":") == nil then
    -- Internally rewrite the URL so that we serve
    -- /auth/ if there's no cookie.
    ngx.exec("/auth/")
else
    -- If there's a cookie, split off the HMAC signature
    -- and timestamp.
    local divider = cookie:find(":")
    hmac = cookie:sub(divider+1)
    timestamp = cookie:sub(0, divider-1)
end

-- Verify that the signature is valid.
if hmac_sha1("some very secret string", timestamp) ~= hmac or tonumber(timestamp) < os.time() then
    -- If invalid, send to /auth/ again.
    ngx.exec("/auth/")
end

上面的代碼可以直接運行。我們用一些明文來簽名(這種情況下用的是一個時間戳,當然你可以用任何你想用的),之後我們用密文生成HMAC(哈希信息認證碼),然後一個簽名就生成了,這樣用戶就不能篡改為無效信息了。

當用戶試圖載入一個資源的時候,我們會檢查cookie裡面的簽名是否有效,如果是,就通過他的請求。反之,我們會把他們重定向到一個發行口令的服務器,這個服務器會驗證並且在沒有的情況下給予他們一個簽名的口令。

明銳的你可能會發現,上面的代碼存在時間上的漏洞。如果你沒有發現,別難過。嗯,也許會有點難過。

這裡是一段Lua的代碼,用來比較兩個字符串在恆定時間上的等值關系(因而能夠阻止任何時間上的攻擊,除非我忽視了什麼,這極為可能):

function compare_strings(str1, str2)
    -- Constant-time string comparison function.
    local same = true
    for i = 1, #str1 do
        -- If the two strings' lengths are different, sub()
        -- will just return nil for the remaining length.
        c1 = str1:sub(i,i)
        c2 = str2:sub(i,i)
        if c1 ~= c2 then
            same = false
        end
    end
    return same
end

我已經在函數上應用了時間來區分,如我所知,這是一個在恆定時間下的等值字符串。不同長度的字符串會稍稍改變時間,也許是因為子過程sub應用了一個不同的分支而導致的。而且,c1~=c2分支顯然不是恆定時間的,但是在實際中,它相當接近恆定,所以於我們的例子不會有影響。我更傾向於使用XOR操作,從而確定兩個字符串的XOR結果是否為0, 不過Lua似乎不包括二進制位的XOR操作。如果我在這個判斷上有誤,對於任何糾正我都很感激。

Copyright © Linux教程網 All Rights Reserved