ngx_http_auth_request_module

Anatoly Mikhailov anatoly at sonru.com
Thu Apr 11 16:15:15 UTC 2013


On Apr 10, 2013, at 12:43 AM, Maxim Dounin <mdounin at mdounin.ru> wrote:

> Hello!
> 
> On Tue, Apr 09, 2013 at 08:30:17PM +0100, Anatoly Mikhailov wrote:
> 
>> 
>> On Apr 9, 2013, at 7:57 PM, Anatoly Mikhailov <anatoly at sonru.com> wrote:
>> 
>>> 
>>> On Apr 9, 2013, at 7:53 PM, Anatoly Mikhailov <anatoly at sonru.com> wrote:
>>> 
>>>> 
>>>> On Apr 9, 2013, at 5:25 PM, Maxim Dounin <mdounin at mdounin.ru> wrote:
>>>> 
>>>>> Hello!
>>>>> 
>>>>> On Tue, Apr 09, 2013 at 04:57:43PM +0100, Anatoly Mikhailov wrote:
>>>>> 
>>>>>> Для контролируемого аплоада больших файлов напрямую через client_body_in_file_only
>>>>>> мне необходимо ограничнить доступ и реализовать backend аутентификацию перед тем,
>>>>>> как nginx начнет сохранять BODY запроса на диск.
>>>>>> 
>>>>>> Basic Authentication подходит в целом, но в данном случае мне необходимо проверять
>>>>>> API_KEY через backend.
>>>>>> 
>>>>>> Найденный плагин ngx_http_auth_request_module последний раз обновлен больше 2-х лет назад,
>>>>>> какие еще варианты решения данной задачи?
>>>>> 
>>>>> А что там обновлять?  Он работает.
>>>> 
>>>> смотрю документацию и не совсем понимаю как это работает
>>>> http://mdounin.ru/hg/ngx_http_auth_request_module/file/a29d74804ff1/README
>>>> обязательно ли делать отдельный location для auth_request?
>>>> 
>>>> с таким конфигом бэкэнд повисает и не отдает отдает ответ обратно,
>>>> хотя при прямом обращении на /authentication/check ответ приходит, код 200
>>>> 
>>>> upstream unicorn_api {
>>>> server              unix:/tmp/unicorn.sock fail_timeout=0;
>>>> }
>>>> 
>>>> location =/upload {
>>>>  auth_request               /authentication/check;
>>>>  limit_except POST          { deny all; }
>>>>  proxy_redirect             off;
>>>>  proxy_pass                 http://unicorn_api/attachments;
>>>> }
>>>> 
>>>> 
>>>> location =/authentication/check {
>>>>  proxy_pass                 http://unicorn_api/authentication/check; # одноименный локэйшн на бэкэнде
>>>>  proxy_pass_request_body    off;
>>>>  proxy_set_header           Content-Length "";
>>>>  proxy_set_header           X-Original-URI $request_uri;
>>>> }
>>>> 
>>> 
>>> подвисает это я глупо написал, вот такое исключение на бэкэнде вылетает:
>>> 
>>> EOFError (bad content body)
> 
> Так - должно работать, смотрите внимательно, что у вас в коде 
> авторизатора на бекенде происходит.  Видимо, он пытается лезть в 
> тело, и вполне логично, что тела не находит - его ещё не читали.

на бэкэнде у нас примитивный Rack, который к сожалению не пускает
запрос с пустым BODY, придется ограничиться Basic HTTP Auth для
запроса /upload...

> 
>> при проксировании на уже существующий location для бэкэнда,
>> вылетает другое исключение Unicorn::ClientShutdown (bytes_read=0),
>> конфиг следующий:
>> 
>>  location =/upload {
>>    auth_request               http://unicorn_api/authentication/check;
>>    limit_except POST      { deny all; }
>>    proxy_redirect             off;
>>    proxy_pass                 http://unicorn_api/v2/attachments;
>>  }
> 
> Так - ничего хорошего не будет.  В директиве auth_request 
> указывается URI для внутреннего перенаправления, и попытка указать 
> там полный URL смысла не имеет.
> 
> -- 
> Maxim Dounin
> http://nginx.org/en/donation.html
> 
> _______________________________________________
> nginx-ru mailing list
> nginx-ru at nginx.org
> http://mailman.nginx.org/mailman/listinfo/nginx-ru



Подробная информация о списке рассылки nginx-ru