一个 lua 写的使 nginx 支持 google authentication 的插件

2016-01-13 20:40:26 +08:00
 beyondsoft

前段时间自己给公司项目搞得,整理了一下放出来 希望能帮到需要的人 :)

特点就是 直接在 nginx 上套 不需要自己开发服务 比较方便, 原理是 HTTP Basic Authorization 用户名就是自己配置的用户名 密码就填写 google authenticatio 生成的一次性 code 就好 支持多用户, ip 白名单。

https://github.com/beyondblog/ngx_lua_google_auth

主要参考的是这篇文章

Writing an nginx authentication module in Lua

3512 次点击
所在节点    分享创造
8 条回复
kchum
2016-01-13 21:46:40 +08:00
Cool.最近正好要研究的东东
ivyliner
2016-01-13 21:55:08 +08:00
能简单介绍一下应用场景 ?
ryd994
2016-01-14 03:35:01 +08:00
1.上传 secret 是不是不太安全
2.IP 白名单其实不需要,用 ngx_http_access_module 就可以了, satisfy any
beyondsoft
2016-01-14 07:53:01 +08:00
@ryd994
1.上传 secret 既不方便也不太安全, 公司实现的是发起一个 http 去远程验证 那样的话部署起来不方便所以我特意拆成这样了 哈哈哈~

2.如果用 ngx_http_access_module 的确能满足大部分需求 很好回头我就把白名单移出掉 谢谢!
v1024
2016-01-14 08:15:44 +08:00
basic 认证不加密,而且一次性密码有效时间十几秒,如果被中间人截获,马上登录仍然是有效的。

另外,浏览器会保存 basic 认证的账号密码,一次性密码过期后,会不会重复弹出认证界面?非浏览器场景当我没说。
ryd994
2016-01-14 09:11:22 +08:00
@v1024 1.所以其实 RFC 一直强调 basic 应该和 TLS 之类的一起用
2. 会
msg7086
2016-01-14 10:05:54 +08:00
@v1024
必须要和服务器端代码结合保存认证,否则,会的。
greenskinmonster
2016-01-15 16:44:32 +08:00
多谢,正好想找个二次认证的方案。
Basic 认证还是走 SSL 吧。

楼主的方法怎么说也比固定用户名密码要更加安全些。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/250546

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX