需求: 一个应用暴露在外网,对登录用户做鉴权,相当于白名单用户.
原理: 用户在应用首页登录的时候会有get请求,在请求头中会有一串加密的base64字符串,经过jwt在线解码之后可以看到令牌过期时间,用户名以及其他信息,通过linux自带的base64命令依然可以解码出来
脚本
token.lua
-- 获取用户请求头中含有Authorization认证的token信息
local token = ngx.req.get_headers()["Authorization"]
-- 将token转化为字符串 否则传递参数会有问题
local change = tostring(token)
-- 本地组装cmd执行shell脚本 同时将转化好的token传递给shell
local cmd = ("sh base1.sh " .. change)
-- 使用io.popen的方式执行命令是可以获取到脚本返回值的 os.execute的方式只能获取到系统返回值
local t = io.popen(cmd)
local result = t:read("*all")
-- 读取返回值将返回值转换成为num格式 否则无法判断
local num = tonumber(result)
-- 将返回值进行判断 是否等与两百(返回值自己定义 对应http状态码)不等则返回403
if num ~= 200 then-- 将403状态返回给ng代理页面 ngx.exit(ngx.HTTP_FORBIDDEN)-- if...end的结束格式
end
-- 关闭io.popen的方式
t:close()
base1.sh
#!/bin/bash
# 将获取到的token追加到log.txt里 方便自己调试 可注释
echo -e $(date "+%Y-%m-%d %H:%M:%S") "\033[32m ==========> \033[0m" "获取到的加密token有效字段为:" $2 >>name.log
# 将token进行base64解码获取到json格式 从json中过滤preferred_username 并且返回 他的值
name=$(echo -n $2 | awk -F "." '{print $2}' | base64 -d 2>/dev/null | sed 's/,/\n/g' | grep "preferred_username" | sed 's/:/\n/g' | sed '1d' | sed 's/}//g' | sed 's/\"//g')
# 将解析到的名字追加到 name.log中也是为了方便调试
echo -e $(date "+%Y-%m-%d %H:%M:%S") "\033[32m ==========> \033[0m" "base64解码之后的用户名为:" $name >>name.log
# 进行嵌套判断 在首次登陆时token是空的 解析到的名字也是空 这时允许登录 并返回200
if [ -z "$2" ]; thenecho 200# 当有token时 去精准匹配一个叫做name.txt用户库中的名字 有则返回200 没有就返回403
elseif [[ $(grep -w "$name" name.txt | wc -l) == 1 ]]; thenecho 200elseecho 403fi
fi
白名单文件自己去配置吧