背景介绍

公司有很多项目通过sphinx生成了Html文档，通过nginx转发，前进前端界面展示，方便员工查阅和使用。
出于安全考虑，现需要添加一个登陆界面，接入公司的统一认证系统，进行账号校验

制定方案

• 通过Oauth2连接公司统一认证系统（spring Oauth2）
• 前端调用Oauth2获取Token
• Nginx通过token校验实现鉴权功能

此处主要讲Nginx使用Lua脚本连接Redis校验Token是否存在。

使用OpenResty

Nginx 官方是没有 Lua 模块的，所以手动引入 OpenResty 开发的 ngx_http_lua_module不如直接使用 openresty。
openresty是一个基于 Nginx 与 Lua 的高性能 Web 平台，其内部集成了大量精良的 Lua 库、第三方模块以及大多数的依赖项。用于方便地搭建能够处理超高并发、扩展性极高的动态 Web 应用、Web 服务和动态网关。

Lua语言

Lua 是一种轻量小巧的脚本语言，用标准 C 语言编写并以源代码形式开放， 其设计目的是为了嵌入应用程序中，从而为应用程序提供灵活的扩展和定制功能。基础语法可以参考：https://www.runoob.com/lua/lua-tutorial.html

代码逻辑处理

获取Token

开始代码编写，第一步是从请求中获取鉴权参数，如果没获取到，跳转到登录页面。

-- lua 获取Nignx变量为：ngx.var
-- 从cookie中获取token值(key为token)
local token = ngx.var.cookie_token
--判断token是否为空，为空跳转
if not token then
    ngx.redirect("http://test.example.com/login", 302)
--判断token存在，则根据redis存储格式拼写Token
else
   token = "auth:" .. ngx.var.cookie_token
end

或者从URL中获取token。

主要依据为前端传送Token存放的位置

local token = ngx.var.arg_token

发起鉴权

此处仅连接redis，检查是否存在该token，未做进一步权限鉴别。

local function close_redis(red)
    if not red then
        return
    end
    local pool_max_idle_time = 10000 --毫秒  
    local pool_size = 100 --连接池大小  
    local ok, err = red:set_keepalive(pool_max_idle_time, pool_size) 
    if not ok then
        ngx.say("close redis error : ",err);
    end
end

-- 连接redis
local redis = require "resty.redis";
local red = redis:new();
red:set_timeout(2000)

local ok,err = red:connect("127.0.0.1", 6379)
if not ok then
  ngx.say("failed to connect: ", err)
end

-- 请注意这里 auth 的调用过程 这是redis设置密码的
local res, err = red:auth("password")
if not res then
  ngx.say("failed to authenticate: ", err)
end

-- redis中若 key 存在返回 1 ，否则返回 0 。
local resp, err = red:exists(token) 
if not resp then  
    ngx.say("get msg error : ", err)  
    return close_redis(red)  
end  
if resp == ngx.null then  
    resp = ''  
end  
if resp == 0 then
--   ngx.exit(ngx.HTTP_FORBIDDEN)
    ngx.redirect("http://test.example.com/login", 302)
end
close_redis(red)

Nginx配置及完整代码

server {
    listen 80;
    server_name test.example.com;


    charset utf-8;
    autoindex on;
    autoindex_exact_size on;
    autoindex_localtime on;

    location / {
         lua_code_cache on;
         rewrite_by_lua_file /usr/local/openresty/nginx/conf/conf.d/redis.lua;
         error_log /usr/local/openresty/nginx/logs/error.log;
         root /data/;
         index index.html;
     }

    location /login {
        alias /data/login;
        index index.html;
}
}

• /usr/local/openresty/nginx/conf/conf.d/redis.lua

-- 从cookie中获取token值key为token）
local token = ngx.var.cookie_token
--判断token是否为空，为空跳转
if not token then
    ngx.redirect("http://test.example.com/login", 302)
--判断token存在，则根据redis存储格式拼写Token
else
   token = "auth:" .. ngx.var.cookie_token
end

local function close_redis(red)
    if not red then
        return
    end
    local pool_max_idle_time = 10000 --毫秒  
    local pool_size = 100 --连接池大小  
    local ok, err = red:set_keepalive(pool_max_idle_time, pool_size) 
    if not ok then
        ngx.say("close redis error : ",err);
    end
end

-- 连接redis
local redis = require "resty.redis";
local red = redis:new();
red:set_timeout(2000)

local ok,err = red:connect("127.0.0.1", 6379)
if not ok then
  ngx.say("failed to connect: ", err)
end

-- 请注意这里 auth 的调用过程 这是redis设置密码的
local res, err = red:auth("password")
if not res then
  ngx.say("failed to authenticate: ", err)
end

-- redis中若 key 存在返回 1 ，否则返回 0 。
local resp, err = red:exists(token) 
if not resp then  
    ngx.say("get msg error : ", err)  
    return close_redis(red)  
end  
if resp == ngx.null then  
    resp = ''  
end  
if resp == 0 then
--   ngx.exit(ngx.HTTP_FORBIDDEN)
    ngx.redirect("http://test.example.com/login", 302)
end
close_redis(red)