博客快捷键

按住 Shift 键查看可用快捷键

ShiftK

开启/关闭快捷键功能

ShiftA

打开/关闭中控台

ShiftD

深色/浅色显示模式

ShiftS

站内搜索

ShiftR

随机访问

ShiftH

返回首页

ShiftL

友链页面

ShiftP

关于本站

ShiftI

原版/本站右键菜单

松开 Shift 键或点击外部区域关闭

文章详情

互动

【NGINX】如何仅仅使用OpenResty接入OIDC认证

9615分钟2025-12-26237未知

文章主要讨论了在域名下应用接入统一登录系统的重要性，以及如何使用Logto登录系统和OpenResty的Lua脚本能力实现OIDC授权的无感接入。文章详细介绍了选型Logto登录系统、安装OIDC授权库、编写OIDC授权脚本、创建OIDC应用、配置Nginx等步骤。通过使用OpenResty的Lua脚本能力，可以在各个站点的配置文件中通过修改变量来实现应用的接入。文章还提到了配置回调代理、设置SSL和DNS配置等细节，并展示了访问被保护域名后的自动跳转登录页和登录后自动跳回原页面的效果。

事由

由于域名下有各种应用，而并非所有应用都具有强壮的授权系统，因此将部分需要保护的应用接入一套合理的统一登入系统就显得尤为重要。这将会极大地保护网站资源安全、避免爬虫嗅探造成子域名资源被收集。

那么为了接入统一授权，首先进行选型，Logto登录系统是一套现代而轻盈的登录框架，而且支持OIDC和OAuth，这为我们后续直接接入Nginx系统提供了很大便利。由于部分老旧或者单页应用并不存在OIDC授权的接口，因此我们期望的是直接通过Nginx的配置实现应用的无感接入，此处以1Panel集成的OpenResty为例，正好可以有效地利用其强化的lua脚本能力做认证。初步设想的架构如下：

Mermaid 图表加载中...

安装依赖

lua中有支持OIDC授权的库zmartzone/lua-resty-openidc，我们直接在OpenResty容器中安装该库和依赖即可。

注意

虽然官方Github中推荐使用luarocks进行安装，然而实测安装失败，参照以下命令使用opm安装即可。

bash

opm get zmartzone/lua-resty-openidc
opm get openresty/lua-resty-string
opm get fffonion/lua-resty-openssl
opm get bungle/lua-resty-session=3.10

安装方法直接使用1Panel控制面板的容器->终端，连接Docker容器内的终端进行安装即可。需要注意最后一条命令的版本指定，反正我在当前版本的OpenResty中跑通了：

编写lua脚本

为了方便配置，我们可以编写一个统一的OIDC的授权脚本，这样在各个站点的配置文件中，只需要修改变量即可接入：

lua

local openidc = require("resty.openidc")

local function in_has_role(id_token, required_role)
    if not id_token or not id_token.roles then
        return false
    end

    for _, role in ipairs(id_token.roles) do
        if role == required_role then
            return true
        end
    end

    return false
end

local opts = {
    discovery = ngx.var.oidc_discovery,
    client_id = ngx.var.oidc_client_id,
    client_secret = ngx.var.oidc_client_secret,
    redirect_uri = ngx.var.oidc_redirect_uri,
    scope = "openid email profile roles",

    session = {
        cookie = {
            name = ngx.var.oidc_cookie_name or "oidc",
            path = "/",
            secure = true,
            httponly = true,
            samesite = "Lax",
        }
    },

    session_contents = { id_token = true, user = true },
}

local res, err = openidc.authenticate(opts)

if err then
    ngx.status = ngx.HTTP_INTERNAL_SERVER_ERROR
    ngx.say(err)
    ngx.exit(ngx.HTTP_INTERNAL_SERVER_ERROR)
end

local required_role = ngx.var.oidc_required_role 
if required_role then
    local ok = in_has_role(res.id_token, required_role)
    if not ok then
        return ngx.redirect(
            "https://logto.cszj.wang/404?error=insufficient_permission"
        )
    end
end

-- 统一透传用户信息（可选）
if res and res.user then
    ngx.req.set_header("X-User-Sub", res.user.sub or "")
    ngx.req.set_header("X-User-Email", res.user.email or "")
end

return res

为了方便起见，本例直接将该lua文件储存在映射出的conf.d目录下，即/opt/1panel/apps/openresty/openresty/conf/conf.d/lua/oauth.lua，容器内对应路径为/usr/local/openresty/nginx/conf/conf.d/lua/oauth.lua。可自行修改

创建OIDC应用

在Logto管理员页面中，我们选择创建第三方应用，然后填写对应的名称，即可完成创建。之后记下这些配置信息，以便调用：

注意

上方需要配置回调url，在本例中以https://【你的域名】/oidc/callback为例，可根据后面配置文件调整。

务必注意需要在权限页配置好适当的权限，以便OAuth时读取。

补充Nginx配置

首先在nginx.conf中补充SSL和DNS配置：

nginx

resolver 【DNS服务器】 ipv6=on valid=300s;
resolver_timeout 5s;
lua_ssl_trusted_certificate /etc/ssl/certs/ca-certificates.crt;

在需要接入的网站server段补入OIDC端点信息：

nginx

set $oidc_discovery https://【logto的域名】/oidc/.well-known/openid-configuration; 
set $oidc_client_id 【应用ID】; 
set $oidc_client_secret 【应用秘钥】; 
set $oidc_redirect_uri https://$http_host/oidc/callback; 
set $oidc_cookie_name 【独立cookie名字】;

加入回调代理：

nginx

# ===== callback =====
location = /oidc/callback {
    content_by_lua_file /usr/local/openresty/nginx/conf/conf.d/lua/oauth.lua; 
}

在反向代理中加入验证流程，在location ^~ /下加入：

nginx

access_by_lua_file /usr/local/openresty/nginx/conf/conf.d/lua/oauth.lua;

至此，全部接入配置已经完成

效果

访问被保护的域名自动跳转登录页：

顺便夸一下Logto，这个页面可以自行配置css等进行高度定制（当然我懒得搞，雾）

登入后即可自动跳回原页面，完成了统一认证流程。

烧鸡

生活明朗，万物可爱

本文是原创文章，采用 CC BY-NC-SA 4.0 协议，完整转载请注明来自烧鸡

认证2 Cookie2 服务器11

喜欢这篇文章的人也看了

随便逛逛

【运维】飞塔防火墙40F基础配置

【运维】家庭服务器迁移完毕→18TB！

隐私政策

评论内容

0/500

昵称

邮箱

网址

滚动到此处加载评论...

安知鱼

来自安知鱼最新设计与科技的文章

查看全部

文章详情

互动

【NGINX】如何仅仅使用OpenResty接入OIDC认证

9615分钟2025-12-26237未知

事由

Mermaid 图表加载中...

安装依赖

lua中有支持OIDC授权的库zmartzone/lua-resty-openidc，我们直接在OpenResty容器中安装该库和依赖即可。

注意

虽然官方Github中推荐使用luarocks进行安装，然而实测安装失败，参照以下命令使用opm安装即可。

bash

opm get zmartzone/lua-resty-openidc
opm get openresty/lua-resty-string
opm get fffonion/lua-resty-openssl
opm get bungle/lua-resty-session=3.10

编写lua脚本

为了方便配置，我们可以编写一个统一的OIDC的授权脚本，这样在各个站点的配置文件中，只需要修改变量即可接入：

lua

local openidc = require("resty.openidc")

local function in_has_role(id_token, required_role)
    if not id_token or not id_token.roles then
        return false
    end

    for _, role in ipairs(id_token.roles) do
        if role == required_role then
            return true
        end
    end

    return false
end

local opts = {
    discovery = ngx.var.oidc_discovery,
    client_id = ngx.var.oidc_client_id,
    client_secret = ngx.var.oidc_client_secret,
    redirect_uri = ngx.var.oidc_redirect_uri,
    scope = "openid email profile roles",

    session = {
        cookie = {
            name = ngx.var.oidc_cookie_name or "oidc",
            path = "/",
            secure = true,
            httponly = true,
            samesite = "Lax",
        }
    },

    session_contents = { id_token = true, user = true },
}

local res, err = openidc.authenticate(opts)

if err then
    ngx.status = ngx.HTTP_INTERNAL_SERVER_ERROR
    ngx.say(err)
    ngx.exit(ngx.HTTP_INTERNAL_SERVER_ERROR)
end

local required_role = ngx.var.oidc_required_role 
if required_role then
    local ok = in_has_role(res.id_token, required_role)
    if not ok then
        return ngx.redirect(
            "https://logto.cszj.wang/404?error=insufficient_permission"
        )
    end
end

-- 统一透传用户信息（可选）
if res and res.user then
    ngx.req.set_header("X-User-Sub", res.user.sub or "")
    ngx.req.set_header("X-User-Email", res.user.email or "")
end

return res

创建OIDC应用

在Logto管理员页面中，我们选择创建第三方应用，然后填写对应的名称，即可完成创建。之后记下这些配置信息，以便调用：

注意

上方需要配置回调url，在本例中以https://【你的域名】/oidc/callback为例，可根据后面配置文件调整。

务必注意需要在权限页配置好适当的权限，以便OAuth时读取。

补充Nginx配置

首先在nginx.conf中补充SSL和DNS配置：

nginx

resolver 【DNS服务器】 ipv6=on valid=300s;
resolver_timeout 5s;
lua_ssl_trusted_certificate /etc/ssl/certs/ca-certificates.crt;

在需要接入的网站server段补入OIDC端点信息：

nginx

set $oidc_discovery https://【logto的域名】/oidc/.well-known/openid-configuration; 
set $oidc_client_id 【应用ID】; 
set $oidc_client_secret 【应用秘钥】; 
set $oidc_redirect_uri https://$http_host/oidc/callback; 
set $oidc_cookie_name 【独立cookie名字】;

加入回调代理：

nginx

# ===== callback =====
location = /oidc/callback {
    content_by_lua_file /usr/local/openresty/nginx/conf/conf.d/lua/oauth.lua; 
}

在反向代理中加入验证流程，在location ^~ /下加入：

nginx

access_by_lua_file /usr/local/openresty/nginx/conf/conf.d/lua/oauth.lua;

至此，全部接入配置已经完成

效果

访问被保护的域名自动跳转登录页：

顺便夸一下Logto，这个页面可以自行配置css等进行高度定制（当然我懒得搞，雾）

登入后即可自动跳回原页面，完成了统一认证流程。

烧鸡

生活明朗，万物可爱

本文是原创文章，采用 CC BY-NC-SA 4.0 协议，完整转载请注明来自烧鸡

认证2 Cookie2 服务器11

喜欢这篇文章的人也看了

随便逛逛

【运维】飞塔防火墙40F基础配置

【运维】家庭服务器迁移完毕→18TB！

隐私政策

评论内容

0/500

昵称

邮箱

网址

滚动到此处加载评论...

安知鱼

来自安知鱼最新设计与科技的文章

查看全部