ngx_http_auth_request_module

Maxim Dounin mdounin at mdounin.ru
Tue Apr 9 23:43:56 UTC 2013 

Hello!

On Tue, Apr 09, 2013 at 08:30:17PM +0100, Anatoly Mikhailov wrote:

> 
> On Apr 9, 2013, at 7:57 PM, Anatoly Mikhailov <anatoly at sonru.com> wrote:
> 
> > 
> > On Apr 9, 2013, at 7:53 PM, Anatoly Mikhailov <anatoly at sonru.com> wrote:
> > 
> >> 
> >> On Apr 9, 2013, at 5:25 PM, Maxim Dounin <mdounin at mdounin.ru> wrote:
> >> 
> >>> Hello!
> >>> 
> >>> On Tue, Apr 09, 2013 at 04:57:43PM +0100, Anatoly Mikhailov wrote:
> >>> 
> >>>> Для контролируемого аплоада больших файлов напрямую через client_body_in_file_only
> >>>> мне необходимо ограничнить доступ и реализовать backend аутентификацию перед тем,
> >>>> как nginx начнет сохранять BODY запроса на диск.
> >>>> 
> >>>> Basic Authentication подходит в целом, но в данном случае мне необходимо проверять
> >>>> API_KEY через backend.
> >>>> 
> >>>> Найденный плагин ngx_http_auth_request_module последний раз обновлен больше 2-х лет назад,
> >>>> какие еще варианты решения данной задачи?
> >>> 
> >>> А что там обновлять?  Он работает.
> >> 
> >> смотрю документацию и не совсем понимаю как это работает
> >> http://mdounin.ru/hg/ngx_http_auth_request_module/file/a29d74804ff1/README
> >> обязательно ли делать отдельный location для auth_request?
> >> 
> >> с таким конфигом бэкэнд повисает и не отдает отдает ответ обратно,
> >> хотя при прямом обращении на /authentication/check ответ приходит, код 200
> >> 
> >> upstream unicorn_api {
> >> server              unix:/tmp/unicorn.sock fail_timeout=0;
> >> }
> >> 
> >> location =/upload {
> >>   auth_request               /authentication/check;
> >>   limit_except POST          { deny all; }
> >>   proxy_redirect             off;
> >>   proxy_pass                 http://unicorn_api/attachments;
> >> }
> >> 
> >> 
> >> location =/authentication/check {
> >>   proxy_pass                 http://unicorn_api/authentication/check; # одноименный локэйшн на бэкэнде
> >>   proxy_pass_request_body    off;
> >>   proxy_set_header           Content-Length "";
> >>   proxy_set_header           X-Original-URI $request_uri;
> >> }
> >> 
> > 
> > подвисает это я глупо написал, вот такое исключение на бэкэнде вылетает:
> > 
> > EOFError (bad content body)

Так - должно работать, смотрите внимательно, что у вас в коде 
авторизатора на бекенде происходит.  Видимо, он пытается лезть в 
тело, и вполне логично, что тела не находит - его ещё не читали.

> при проксировании на уже существующий location для бэкэнда,
> вылетает другое исключение Unicorn::ClientShutdown (bytes_read=0),
> конфиг следующий:
> 
>   location =/upload {
>     auth_request               http://unicorn_api/authentication/check;
>     limit_except POST      { deny all; }
>     proxy_redirect             off;
>     proxy_pass                 http://unicorn_api/v2/attachments;
>   }

Так - ничего хорошего не будет.  В директиве auth_request 
указывается URI для внутреннего перенаправления, и попытка указать 
там полный URL смысла не имеет.

-- 
Maxim Dounin
http://nginx.org/en/donation.html

Подробная информация о списке рассылки nginx-ru