Клиентские SSL-сертификаты + ngx_http_auth_basic_module

Vladislav Shabanov vlad.shabanov на gmail.com
Пт Янв 1 17:46:58 UTC 2021 

Добрый день!

Хочу посоветоваться.
Есть сервер, где зона «для сотрудников» закрыта двумя слоями авторизации:
	auth_basic
	+ проверка на уровне приложения, с куками, сессиями и прочим.

Отказываться от auth_basic не хочется: 
В коде приложения запросто могут быть ошибки. Забыли, например, завернуть какую-нибудь функцию приложения в декоратор и получили дырку в защите.
Сессионную куку могут угнать. XSS, «мутные» плагины для браузеров и т. д.
Есть «интимная» статика, которую проверять через auth_request не хочется, т.к. замедляет.
Проблема в том, что большинство браузеров неудобно работают с basic_auth: Сафари под iPhone спрашивает пароль каждые несколько часов и даже не заморачивается, чтобы его запомнить. FireFox после рестарта показывает модальный диалог со вводом пароля в одном из окон и блокирует все остальные окна с тем же сайтом. Неудобно, короче.

Настроил клиентские сертификаты. Есть сотни мануалов, ничего интересного. Но вот раздача сертификатов сотрудникам и установка их в браузеры – дело муторное. У каждого браузера свои тараканы, сложно объяснить сотруднику по телефону, как поставить сертификат в его браузер и т. д. А если сертификат устареет или придётся его отозвать, совсем беда.

Поэтому решил сделать вот какую логику:
Если браузер предъявил сертификат, то auth_basic не требуем.
Если не предъявил, то пусть вводит логин+пароль через auth_basic.
Проверка доступа на уровне приложения никуда не девается, работаем по старому.
Я не нашёл способа, как настроить конфиг nginx, чтобы эту логику реализовать. Конструкции с
if $ssl_client_verify == "SUCCESS" {}
несовместимы с auth_basic.

Пока придумал только одно: отпатчил ngx_http_auth_basic_module.c, сделал в нём директиву
auth_basic_skip_if_client_cert    on/off
по которой проверка пароля выключается, если предъявлен валидный клиентский сертификат.

Вопросы:
Может быть, кто-то решал аналогичную задачу? Чтоб и два слоя защиты для страховки и удобство в повседневной работе?
Существует ли решение без патча ngx_http_auth_basic_module.c?
Интересен ли кому-нибудь этот патч? Может, на моём велосипеде ещё кто-нибудь хочет покататься? :) 

С уважением,
	Владислав



----------- следущая часть -----------
Вложение в формате HTML было извлечено…
URL: <http://mailman.nginx.org/pipermail/nginx-ru/attachments/20210101/fad24b90/attachment.htm>

Подробная информация о списке рассылки nginx-ru