Caddy 的 forward_auth 和 OAuth2 Proxy 以及 Casdoor

SerinaNya
  2023-05-12 17:23:36 2023-05-12 17:23:36 创建   2024-07-21 17:06:05 2024-07-21 17:06:05 更新  
这篇文章最后更新于 256 天前,内容可能已经过时。

Caddy v2 是一个快速、现代化的 Web 服务器,具有易于理解的配置文件,并且可以通过插件扩展其功能。

OAuth2 Proxy 是一个提供身份验证功能的反向代理服务器,支持使用 Google、GitHub 等进行鉴权。

Casdoor 是一个基于 OAuth 2.0、OIDC、SAML 和 CAS 的,UI-first 的身份和访问管理 (IAM) / 单点登录 (SSO) 平台。

在这篇文章中,我将使用 Caddy v2 的 forward_auth 指令,与 OAuth2 Proxy 一起工作。虽然它名称中带了个 Proxy ,但是我今天不会使用它的严格意义上的代理功能,而是会将其当作一个访问鉴权网关,或者说,中间件。

在此文中我会用到 Docker Compose,你可以用更高级的玩意替代它。

由于我不是幼儿园保姆,所以我只会提供核心内容的参考,安装方式和过程不再赘述。

0x01 配置 Casdoor

在部署时,我暂时推荐 使用 Docker 运行 Casdoor,这会大大降低部署难度。

在这里,我将 Casdoor 的域名定义为 sso.example.com

一旦你登录了 Web 管理界面,你就可以按以下步骤操作了:

  1. 前往 组织 页面,添加一个组织。

只需填写必要的项目即可,另外记得修改密码类型。

  1. 前往 应用 页面,添加一个应用。

    • 组织 一栏中选择 ① 创建的组织。
    • 你可以适当调整接下来的选项,但是建议关闭注册功能。
    • 另外,在 OAuth 授权类型 一栏中选择全部项,除了 Password
    • ⚠️ 有些值在接下来会被用到。

  2. 前往 用户 页面,添加一位用户。

    • 组织 一栏中选择 ① 创建的组织。
    • 仅需填写必要的项目即可。
    • 在完成创建后,对创建的用户进行编辑,以设置密码。

暂时将它放在一边,接下来该配置 OAuth2 Proxy 了。

0x02 配置 OAuth2 Proxy

我选择使用 Docker Compose 进行部署。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
# docker-compose.yml
version: '3'
services:
    oauth2-proxy:
        image: quay.io/oauth2-proxy/oauth2-proxy:latest
        restart: always
        command:
            [
                '--provider',
                'oidc',
                '--provider-display-name',
                'Example Auth',  # 这个名称会显示在网页上
                '--client-id',
                'e62d**********cd3bc0',  # 来自 Casdoor 的 Client ID 值
                '--client-secret',
                'b771******************************012911',  # 来自 Casdoor 的 Client secret 值
                '--oidc-issuer-url',
                'https://sso.example.com/',  # Casdoor 的根地址
                '--cookie-secure=true',
                '--cookie-secret=YT0q**********************************xhdGM=',  # 按照 OAuth2 Proxy 的文档生成
                '--http-address',
                'http://0.0.0.0:4180',  # 它默认不会绑定 0.0.0.0,这里覆盖默认配置
                '--reverse-proxy=true',
                '--upstream=static://202',
                '--whitelist-domain',
                '*.example.com'  # 只有使用符合这个条件的域名进行请求才被允许
            ]
        ports:
          - 127.0.0.1:4180:4180  # 别把端口暴露到公网

随后启动容器并查看日志。

1
2
docker compose up -d
docker compose logs -f

如果没有报错或反复重启,就说明配置正确。

显而易见,这里 OAuth2 Proxy 的地址为 127.0.0.1:4180

0x03 配置 Caddy

在这里,我将网站的域名定义为 hello.example.com,成功进入后应该显示 hello world

Caddyfile 为如下内容:

1
2
3
4
5
6
7
8
9
10
11
12
13
(auth_required) {  # 片段化,方便复用
        forward_auth :4180 {  # 对于 localhost 仅需输入端口号即可
                uri {path}  # 其实就是 URL 重写
                copy_headers Authorization # 可选
        }
}

hello.example.com {
        encode zstd gzip
        import auth_required  # 使用上方的片段
        
        respond "hello world"  # 响应这个字符串,仅用于调试目的
}

0x04 再次配置 Casdoor

还没完。我们需要前往 Casdoor 添加允许的回调地址。

  1. 前往 应用 页面,编辑之前创建的应用。
  2. 重定向 URLs 中添加一个值:
    https://hello.example.com/oauth2/callback

/oauth2/callback 是 OAuth2 Proxy 的默认回调 URL。前面的 hello.example.com 是发起鉴权请求的域名。

0x05 一切就绪

保存这些配置并启动这些应用,访问 hello.example.com。不出意外的话 ,它已经可以如你我所期待的那样运作了!

要特别说明的是,OAuth2 Proxy 只是一个类似于中间件的存在,它仅工作在 Web 服务器和受保护的内容之间。它不需要独立的域名,它只是挂靠在实际的站点域名下。

如果你想保护某个 Web 服务避免未经授权的访问,或者实现类似于 Cloudflare Zero Trust 的 Access Gateway 那样的功能的话,这套方案似乎是个不错的选择。

Casdoor 并不是唯一的选择,Casdoor 的用途也远不止于此。对 Caddy 和 OAuth2 Proxy 来说也是同样的道理。

真诚地希望这篇文章能给帮助到你。

参考资料

  1. OpenID Connect | OAuth2 Proxy
  2. Configuring for use with the Nginx auth_request directive | OAuth2 Proxy
  3. forward_auth (Caddyfile directive) | Caddy
  4. 标准OIDC 客户端 | Casdoor
  5. oauth2-proxy/oauth2-proxy | Quay
  • 标题: Caddy 的 forward_auth 和 OAuth2 Proxy 以及 Casdoor
  • 作者: SerinaNya
  • 创建于 : 2023-05-12 17:23:36
  • 更新于 : 2024-07-21 17:06:05
  • 链接: https://serinanya.cn/2023/caddy-forward-auth/
  • 版权声明: 本文章采用 CC BY-NC-SA 4.0 进行许可。
目录
Caddy 的 forward_auth 和 OAuth2 Proxy 以及 Casdoor
  1. 0x01 配置 Casdoor
  2. 0x02 配置 OAuth2 Proxy
  3. 0x03 配置 Caddy
  4. 0x04 再次配置 Casdoor
  5. 0x05 一切就绪
  6. 参考资料