Nginx zabezpieczenia strony hasłem

Nginx zabezpieczenia strony hasłem
zawsze_cos
ZC
zawsze_cos
ZC
  • Rejestracja:około 3 lata
  • Ostatnio:24 dni
  • Postów:11
0

Cześć,
mam na vps stronkę napisaną w Spring Boot.
Składa się ona z kilku stron z dostępem ogólnym oraz kilku która gdzie wymagane jest logowanie. Rejestracja w serwisie i logowanie ogarnięte jest przez Spring Boota.

Wszystko fajnie działa jednak strona jest jeszcze testowana więc chciałbym zablokować dostęp z zewnątrz poprzez ustawienie hasła na poziomie Nginx.
Wprowadzaiłem takie zmiany w default.conf

Kopiuj
server {
    listen   80;
    location / {
        auth_basic 'Restricted';
        auth_basic_user_file /etc/apache2/.htpasswd;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
        proxy_pass http://page:3080;
    }
}

i to również działa, kiedy wchodzę na stronę wymagane jest podanie loginu i hasła.
Jednak kiedy wprawdzie te dane i na działającej stronie chce się zalogować na moim koncie w serwisie już się wysypuje.
Zakładam, że jest to związane z tym że nginx i spring korzysta z oauth i coś tam sypie się z tokenami.
Czy ktoś spotkał się z podobnym problemem i wie jak można to rozwiązać?
Wiem, że mógłbym zablokować dostęp do wszystkich stron w projekcie spring boota ale może jest jakaś możliwość, żeby nie mieszać w projekcji i zrobić to na poziomie nginx?

edytowany 2x, ostatnio: Riddle
Riddle
@zawsze_cos: Na forum istnieje komenda do formatowania kodu, skorzystaj z niej następnym razem.
Udostępnij
Kopiuj link do postu Kopiuj link do postu jako Markdown
Komentuj
DonStefano
DonStefano
DonStefano
DonStefano
  • Rejestracja:około 3 lata
  • Ostatnio:ponad rok
  • Postów:36
0

Jednak kiedy wprawdzie te dane i na działającej stronie chce się zalogować na moim koncie w serwisie już się wysypuje.

Co się dokładniej dzieje - wysypuje, czyli 401 leci, czy bardziej w kierunku 502/500?

Jeśli bez asic autha skonfigurujesz nginxa, to wtedy dobrze proxuje? Lepiej to potwierdzić, może po prostu występują jakieś błędy związane z różnicą konfiguracji profili w jakich odpalasz apkę lokalnie vs na serwerze.

Udostępnij
Kopiuj link do postu Kopiuj link do postu jako Markdown
Komentuj
Shalom
Shalom
Shalom
Shalom
  • Rejestracja:około 21 lat
  • Ostatnio:prawie 3 lata
  • Lokalizacja:Space: the final frontier
  • Postów:26433
0

nginx i spring korzysta z oauth

To chyba nie w kodzie który pokazałeś, bo ustawiłeś basic-auth na poziomie nginxa. Jeśli to samo masz w springboocie to siłą rzeczy się posypie, bo musiałbyś wysłać request z twoma różnymi headerami Authorization na raz.

"Nie brookliński most, ale przemienić w jasny, nowy dzień najsmutniejszą noc - to jest dopiero coś!"
Udostępnij
Kopiuj link do postu Kopiuj link do postu jako Markdown
Komentuj
zawsze_cos
ZC
zawsze_cos
ZC
  • Rejestracja:około 3 lata
  • Ostatnio:24 dni
  • Postów:11
0

@DonStefano:

Co się dokładniej dzieje - wysypuje, czyli 401 leci, czy bardziej w kierunku 502/500?

W momencie przesłania username i password logowanie na poziomie springa jest udane i zwraca token, w kolejnym requescie leci już 401 więc z frontu pewnie dostaje błędy token

Jeśli bez asic autha skonfigurujesz nginxa, to wtedy dobrze proxuje?

tak.

@Shalom:
racja, mój błąd, w obu systemach jest basic-auth

Czy znacie jakiś sposób jak rozwiązać problem wprowadzając zmiany tylko po stronie nginx?

edytowany 1x, ostatnio: zawsze_cos
Udostępnij
Kopiuj link do postu Kopiuj link do postu jako Markdown
Komentuj
Shalom
Shalom
Shalom
Shalom
  • Rejestracja:około 21 lat
  • Ostatnio:prawie 3 lata
  • Lokalizacja:Space: the final frontier
  • Postów:26433
1

racja, mój błąd, w obu systemach jest basic-auth

No to tak to się za bardzo nie da*, chyba że będziesz w obu miejscach miał tego samego usera i hasło ;] Albo zmienisz auth w jednym miejscu na coś innego (np. na ten oauth albo na jakieś session cookies)

* wydaje mi się że RFC w sumie pozwala na wysłanie 2 headerów z różnymi wartościami, ale mam wątpliwosci czy nginx/spring to ogarną. Możesz spróbować.

Generalnie polecałbym jednak spróbować zrozumieć jak działa to co robisz. Bo mylenie oauth i tokenów z basic sugeruje że nie bardzo wiesz co robisz. Basic Auth polega na tym, że każdy twój request do serwera zawiera specjalny header Authorization: Basic base64(username:password). To że przeglądarka promptuje cię o user i password a potem automatycznie dodaje taki header do każdego requestu to jest tylko i wyłącznie takie udogodnienie.
I teraz taki request leci sobie od twojej przeglądarki do serwera. Najpierw dostaje go nginx a potem, jeśli podoba mu sie user i hasło, forwarduje ten request do springa. Tylko że tu jest właśnie problem -> header jest jeden i zawiera jeden zestaw credentiali, a dwie różne aplikacje sprpawdzają czy im się te credentiale podobają.

"Nie brookliński most, ale przemienić w jasny, nowy dzień najsmutniejszą noc - to jest dopiero coś!"
edytowany 3x, ostatnio: Shalom
Udostępnij
Kopiuj link do postu Kopiuj link do postu jako Markdown
Komentuj
DonStefano
DonStefano
DonStefano
DonStefano
  • Rejestracja:około 3 lata
  • Ostatnio:ponad rok
  • Postów:36
0

@zawsze_cos: Jeśli zależy Ci na niepublicznym dostępie, to możesz też zastosować inne rozwiązanie - np whitelistowanie w nginx'ie adresów IP (jeśli posiadasz serwer VPN to będzie jak znalazł :P / ewentualnie od biedy swój IP whiteliste'ować). Albo też zmienić po stronie Spring'a mechanizm security na sesję z ciasteczkami / oauth jak wspomniał Shalom. Wtedy możesz w nginxie mieć nawet kombinację whitelistowania dla IP oraz basic autha w przeciwnym przypadku.

Udostępnij
Kopiuj link do postu Kopiuj link do postu jako Markdown
Komentuj
zawsze_cos
ZC
zawsze_cos
ZC
  • Rejestracja:około 3 lata
  • Ostatnio:24 dni
  • Postów:11
0

Filtrowanie ip odpada bo tam kilka osób zagląda z różnych adresów. Teraz zablokowałem wszystkie strony i jeśli ktoś nie jest zalogowany przekierowuje na stronę logowania, ale jest z tym trochę zabawy a ja jestem leniwy więc szukałem jakiegoś prostszego rozwiązania po stronie nginx ;) Może ten sam login i hasło w obu systemach to nie taki głupi pomysł ;D

btw. też macie taki komunikat jak próbujecie edytować posta? :D
image

Shalom
Masz mało postów wiec łapie cię anty-spamowy rate-limiting na 4p ;)
ZC
No nic, trudno, więc nie pozostaje mi nic innego jak "Oczekać" ;)
Udostępnij
Kopiuj link do postu Kopiuj link do postu jako Markdown
Komentuj
DonStefano
DonStefano
DonStefano
DonStefano
  • Rejestracja:około 3 lata
  • Ostatnio:ponad rok
  • Postów:36
0

@zawsze_cos: Raczej słaby pomysł, będziesz musiał zarządzać dwoma źródłami użytkowników - tymi z pliczku /etc/apache2/.htpasswd dla nginx'a oraz tymi po stronie Springa i je ze sobą synchronizować, aby to miało sens. No chyba, że każdy będzie korzystał z tego samego użytkownika na potrzeby testowania (?), to się może sprawdzić.

Udostępnij
Kopiuj link do postu Kopiuj link do postu jako Markdown
Komentuj
zawsze_cos
ZC
zawsze_cos
ZC
  • Rejestracja:około 3 lata
  • Ostatnio:24 dni
  • Postów:11
0

@DonStefano: Niczym nie będę zarządzał, stworze im 2 konta i niech się cieszą. Nie da się to się nie da! ;)
btw. orientuje się ktoś jak to jest zrobione w Panelu DirecAdmin? nie mam teraz dostępu do żadnego ale tam też chyba można było założyć hasło na folder. Tam też używany jest basic-auth?

Udostępnij
Kopiuj link do postu Kopiuj link do postu jako Markdown
Komentuj
Treść
Podgląd
Kliknij, aby dodać treść...
Kliknij, aby dodać załącznik lub wklej ze schowka.
Instrukcja obsługi Markdown
Pomoc 1.18.8

Typografia

Edytor obsługuje składnie Markdown, w której pojedynczy akcent *kursywa* oraz _kursywa_ to pochylenie. Z kolei podwójny akcent **pogrubienie** oraz __pogrubienie__ to pogrubienie. Dodanie znaczników ~~strike~~ to przekreślenie.

Możesz dodać formatowanie komendami , , oraz .

Ponieważ dekoracja podkreślenia jest przeznaczona na linki, markdown nie zawiera specjalnej składni dla podkreślenia. Dlatego by dodać podkreślenie, użyj <u>underline</u>.

Komendy formatujące reagują na skróty klawiszowe: Ctrl+B, Ctrl+I, Ctrl+U oraz Ctrl+S.

Linki

By dodać link w edytorze użyj komendy lub użyj składni [title](link). URL umieszczony w linku lub nawet URL umieszczony bezpośrednio w tekście będzie aktywny i klikalny.

Jeżeli chcesz, możesz samodzielnie dodać link: <a href="link">title</a>.

Wewnętrzne odnośniki

Możesz umieścić odnośnik do wewnętrznej podstrony, używając następującej składni: [[Delphi/Kompendium]] lub [[Delphi/Kompendium|kliknij, aby przejść do kompendium]]. Odnośniki mogą prowadzić do Forum 4programmers.net lub np. do Kompendium.

Wspomnienia użytkowników

By wspomnieć użytkownika forum, wpisz w formularzu znak @. Zobaczysz okienko samouzupełniające nazwy użytkowników. Samouzupełnienie dobierze odpowiedni format wspomnienia, zależnie od tego czy w nazwie użytkownika znajduje się spacja.

Znaczniki HTML

Dozwolone jest używanie niektórych znaczników HTML: <a>, <b>, <i>, <kbd>, <del>, <strong>, <dfn>, <pre>, <blockquote>, <hr/>, <sub>, <sup> oraz <img/>.

Skróty klawiszowe

Dodaj kombinację klawiszy komendą notacji klawiszy lub skrótem klawiszowym Alt+K.

Reprezentuj kombinacje klawiszowe używając taga <kbd>. Oddziel od siebie klawisze znakiem plus, np <kbd>Alt+Tab</kbd>.

Indeks górny oraz dolny

Przykład: wpisując H<sub>2</sub>O i m<sup>2</sup> otrzymasz: H2O i m2.

Składnia Tex

By precyzyjnie wyrazić działanie matematyczne, użyj składni Tex.

<tex>arcctg(x) = argtan(\frac{1}{x}) = arcsin(\frac{1}{\sqrt{1+x^2}})</tex>

Kod źródłowy

Krótkie fragmenty kodu

Wszelkie jednolinijkowe instrukcje języka programowania powinny być zawarte pomiędzy obróconymi apostrofami: `kod instrukcji` lub ``console.log(`string`);``.

Kod wielolinijkowy

Dodaj fragment kodu komendą . Fragmenty kodu zajmujące całą lub więcej linijek powinny być umieszczone w wielolinijkowym fragmencie kodu. Znaczniki ``` lub ~~~ umożliwiają kolorowanie różnych języków programowania. Możemy nadać nazwę języka programowania używając auto-uzupełnienia, kod został pokolorowany używając konkretnych ustawień kolorowania składni:

```javascript
document.write('Hello World');
```

Możesz zaznaczyć również już wklejony kod w edytorze, i użyć komendy  by zamienić go w kod. Użyj kombinacji Ctrl+`, by dodać fragment kodu bez oznaczników języka.

Tabelki

Dodaj przykładową tabelkę używając komendy . Przykładowa tabelka składa się z dwóch kolumn, nagłówka i jednego wiersza.

Wygeneruj tabelkę na podstawie szablonu. Oddziel komórki separatorem ; lub |, a następnie zaznacz szablonu.

nazwisko;dziedzina;odkrycie
Pitagoras;mathematics;Pythagorean Theorem
Albert Einstein;physics;General Relativity
Marie Curie, Pierre Curie;chemistry;Radium, Polonium

Użyj komendy by zamienić zaznaczony szablon na tabelkę Markdown.

Lista uporządkowana i nieuporządkowana

Możliwe jest tworzenie listy numerowanych oraz wypunktowanych. Wystarczy, że pierwszym znakiem linii będzie * lub - dla listy nieuporządkowanej oraz 1. dla listy uporządkowanej.

Użyj komendy by dodać listę uporządkowaną.

1. Lista numerowana
2. Lista numerowana

Użyj komendy by dodać listę nieuporządkowaną.

* Lista wypunktowana
* Lista wypunktowana
** Lista wypunktowana (drugi poziom)

Składnia Markdown

Edytor obsługuje składnię Markdown, która składa się ze znaków specjalnych. Dostępne komendy, jak formatowanie , dodanie tabelki lub fragmentu kodu są w pewnym sensie świadome otaczającej jej składni, i postarają się unikać uszkodzenia jej.

Dla przykładu, używając tylko dostępnych komend, nie możemy dodać formatowania pogrubienia do kodu wielolinijkowego, albo dodać listy do tabelki - mogłoby to doprowadzić do uszkodzenia składni.

W pewnych odosobnionych przypadkach brak nowej linii przed elementami markdown również mógłby uszkodzić składnie, dlatego edytor dodaje brakujące nowe linie. Dla przykładu, dodanie formatowania pochylenia zaraz po tabelce, mogłoby zostać błędne zinterpretowane, więc edytor doda oddzielającą nową linię pomiędzy tabelką, a pochyleniem.

Skróty klawiszowe

Skróty formatujące, kiedy w edytorze znajduje się pojedynczy kursor, wstawiają sformatowany tekst przykładowy. Jeśli w edytorze znajduje się zaznaczenie (słowo, linijka, paragraf), wtedy zaznaczenie zostaje sformatowane.

  • Ctrl+B - dodaj pogrubienie lub pogrub zaznaczenie
  • Ctrl+I - dodaj pochylenie lub pochyl zaznaczenie
  • Ctrl+U - dodaj podkreślenie lub podkreśl zaznaczenie
  • Ctrl+S - dodaj przekreślenie lub przekreśl zaznaczenie

Notacja Klawiszy

  • Alt+K - dodaj notację klawiszy

Fragment kodu bez oznacznika

  • Alt+C - dodaj pusty fragment kodu

Skróty operujące na kodzie i linijkach:

  • Alt+L - zaznaczenie całej linii
  • Alt+, Alt+ - przeniesienie linijki w której znajduje się kursor w górę/dół.
  • Tab/⌘+] - dodaj wcięcie (wcięcie w prawo)
  • Shit+Tab/⌘+[ - usunięcie wcięcia (wycięcie w lewo)

Dodawanie postów:

  • Ctrl+Enter - dodaj post
  • ⌘+Enter - dodaj post (MacOS)