Sehr einfache Authentifizierung mit one-time-cookie auf nginx

Ich habe eine Website ausschließlich für den privaten Verbrauch von 3-Programmierer. Es ist eine einfache HTML-serviert von nginx direkt, aber bestimmt für den Verbrauch innerhalb und außerhalb des Büros.

Möchte ich ein einfaches Passwort oder authentication scheme. Ich könnte mit HTTP-auth, aber diese neigen dazu zu verfallen, ziemlich oft, das macht es ein Schmerz für Menschen zu verwenden. Ich bin auch nervös, es ist viel einfacher für jemanden zu schnüffeln als cookies.

So Frage ich mich, wenn ich könnte nur ein cookie in Ihrem Browser in JavaScript eine eindeutige lange ID und irgendwie sagen, nginx zu akzeptieren nur Anfragen (für eine bestimmte sub-Domain), die dieses cookie.

Ist das einfach genug zu tun? Wie kann ich

  1. sagen nginx filtern cookie
  2. im browser ein cookie gesetzt, das nie abläuft?
InformationsquelleAutor Ash | 2012-05-23
  1. 13

    Haben Nginx filter durch ein cookie, könnten Sie eine Aktion durchführen, wenn das cookie nicht vorhanden ist, und dann Ihre eigentliche Aktion, für die 3 Leute, die Zugriff haben, beispielsweise:

    server {
    listen 443 ssl http2;  # Use HTTPS to protect the secret
    ...
    if ($http_cookie !~ 'secretvalue') {
        return 401; 
    }
    location /{
       # Auth'd behaviour goes here
    }
}

    Und um ein cookie zu setzen, das nie erlischt, starten Sie Ihren browser JavaScript-Konsole auf eine Seite, die auf dem server-hostname und geben Sie:

    document.cookie = 'cookie=secretvalue;max-age=3153600000;path=/;secure';

    Technisch nicht für immer, aber 100 Jahre sollte es tun. Sie können auch expires= für ein absolutes Datum in RFC1123-format, wenn Sie so geneigt sind und sich leicht anpassen können Sie die path wenn Sie benötigen. Dies setzt auch die secure - flag im cookie wird also nur gesendet werden, die über HTTPS.

    Gibt es auch browser-add-ons, das Ihnen erlaubt, beliebige cookies, aber alle modernen Browser haben eine JavaScript-Konsole.

    • ich denke, du meintest !~
    • Guter Fang, @doronaviguy. Aktualisiert die Antwort!
    • Wenn cookies gesendet werden, im Klartext, dieser verliert den geheimen Wert an das öffentliche internet, die scheint nicht groß. Ich denke, mit TLS würde ausreichen, um zu schützen das Geheimnis, richtig? Sie sind auch mit einem Risiko von cross-site-Angriffe, richtig?
    • Aktualisiert das Beispiel für die Verwendung von HTTPS und secure-cookies. Im Allgemeinen, es ist ein cookie, damit standard-cookie-handling/Schutz gilt sowohl für Netzwerk-übertragung und cross-domain-Zugriff. Wenn Sie Ihre Seiten über eine XSS-dann sind Sie in Schwierigkeiten mit DOM-zugänglich cookies, aber mit einigen zusätzlichen server-Seite arbeiten, Sie umsetzen konnte HttpOnly-cookies.
    InformationsquelleAutor davidjb
  2. 8

    Gibt es eine wirklich einfache Lösung suchen, die fand ich von ein blog-post von Christian Stocker. Es implementiert die folgenden Regeln:

    1. Wenn der Benutzer auf eine interne IP, Sie sind erlaubt.
    2. Wenn der Benutzer ein cookie gesetzt, Sie sind erlaubt.
    3. Wenn keiner passt, wird der Benutzer mit http-basic-Authentifizierung, und wenn Sie erfolgreich authentifiziert ist, eine langfristige cookie gesetzt

    Dies ist wirklich das beste aus beiden Welten.

    Hier ist die config:

    map $cookie_letmein $mysite_hascookie {
  "someRandomValue" "yes";
  default           "no";
}

geo $mysite_geo {
  192.168.0.0/24 "yes": #some network which should have access
  10.10.10.0/24  "yes": #some other network which should have access
  default        "no";
}


map $mysite_hascookie$mysite_geo $mysite_authentication{
  "yesyes" "off";  #both cookie and IP are correct  => OK
  "yesno"  "off"; #cookie is ok, but IP not  => OK
  "noyes"  "off";  #cookie is not ok, but IP is ok => OK
  default  "Your credentials please"; #everythingles => NOT OK
}

server {
  listen 80;
  server_name mysite.example.org;
  location /{
    auth_basic  $mysite_authentication;
    auth_basic_user_file  htpasswd/mysite;
    add_header Set-Cookie "letmein=someRandomValue;max-age=3153600000;path=/"; #set that special cookie, when everything is ok
    proxy_pass http://127.0.0.1:8000/;
    proxy_set_header Host $host;
    proxy_set_header X-Forwarded-For $remote_addr;
  }
}
    InformationsquelleAutor JosephH
Schreibe einen Kommentar