通过反向代理注入 OAuth2 令牌

Posted 2023-02-27

【中文标题】通过反向代理注入 OAuth2 令牌

【英文标题】：Inject OAuth2 token via reverse proxy

【发布时间】：2021-10-25 02:56:16

【问题描述】：

我们有一项服务通过 HTTP 请求向客户端发送传递通知消息 - 这意味着，客户端还必须充当服务器（必须公开 HTTP 端点）才能接收这些通知。

我们的一些客户要求我们的请求通过 OAuth 对其端点进行身份验证。我们更愿意使用第三方来实现这一点，以避免在内部实现安全功能（并避免我们最终可能引入的安全问题/处理不当的边缘情况）；更具体地说，我们希望有一个反向代理。

我们的想法是，我们的服务将通过反向代理向客户端发送请求，这将识别该请求缺少令牌并负责获取令牌并将其注入请求中。

我用谷歌搜索了这个但找不到任何东西；也许我没有搜索正确的关键字。是否有针对此的打包/“市场”反向代理解决方案？或者也许是一个可以为我们引导解决方案的可编程反向代理？

【参考方案1】：

我可以看到两种方法：

在您自己的代码中拥有一个 oauth2 客户端库，以处理您的应用的 oauth2 身份验证流程。大多数编程语言都有一个 oauth2 客户端，因此您无需重新实现任何东西并拥有安全的身份验证机制，

使用实现 oauth2 客户端的代理，以便为您的服务执行该部分流程，但我不确定它是否存在。我找不到与此相关的任何内容，因为大多数语言都有一个现成的 oauth2 客户端。

希望你能找到解决问题的方法:)