ngx_mail_auth_http_module
Module ngx_mail_auth_http_module
- 指令
- auth_http
- auth_http_header
- auth_http_pass_client_cert
- auth_http_timeout
- 协议
指令
| 句法: | auth_http URL; |
|---|---|
| 默认: | — |
| 语境: | 邮件,服务器 |
设置HTTP验证服务器的URL。协议如下所述。
| 句法: | auth_http_header头部值; |
|---|---|
| 默认: | — |
| 语境: | 邮件,服务器 |
将指定的标头附加到发送给认证服务器的请求。这个头可以用作共享密钥来验证请求来自nginx。例如:
auth_http_header X-Auth-Key "secret_string";
| 句法: | auth_http_pass_client_cert在|上 关闭; |
|---|---|
| 默认: | auth_http_pass_client_cert off; |
| 语境: | 邮件,服务器 |
将带有PEM格式(urlencoded)的客户端证书的“Auth-SSL-Cert”标头追加到发送给认证服务器的请求中。
| 句法: | auth_http_timeout时间; |
|---|---|
| 默认: | auth_http_timeout 60s; |
| 语境: | 邮件,服务器 |
设置与验证服务器进行通信的超时时间。
协议
HTTP协议用于与认证服务器进行通信。响应正文中的数据将被忽略,信息仅在标题中传递。
请求和回应的例子:
请求:
GET /auth HTTP/1.0
Host: localhost
Auth-Method: plain # plain/apop/cram-md5/external
Auth-User: user
Auth-Pass: password
Auth-Protocol: imap # imap/pop3/smtp
Auth-Login-Attempt: 1
Client-IP: 192.0.2.42
Client-Host: client.example.org
良好的回应:
HTTP/1.0 200 OK
Auth-Status: OK
Auth-Server: 198.51.100.1
Auth-Port: 143
坏回应:
HTTP/1.0 200 OK
Auth-Status: Invalid login or password
Auth-Wait: 3
如果没有“Auth-Wait”标题,则会返回错误并且连接将被关闭。当前实现为每次认证尝试分配内存。内存仅在会话结束时释放。因此,必须限制单个会话中无效身份验证尝试的次数 - 服务器必须在10-20次尝试后没有“Auth-Wait”头部的情况下进行响应(尝试号码在“Auth-Login-Attempt”头部中传递) 。
当使用APOP或CRAM-MD5时,请求响应如下所示:
GET /auth HTTP/1.0
Host: localhost
Auth-Method: apop
Auth-User: user
Auth-Salt: <238188073.1163692009@mail.example.com>
Auth-Pass: auth_response
Auth-Protocol: imap
Auth-Login-Attempt: 1
Client-IP: 192.0.2.42
Client-Host: client.example.org
良好的回应:
HTTP/1.0 200 OK
Auth-Status: OK
Auth-Server: 198.51.100.1
Auth-Port: 143
Auth-Pass: plain-text-pass
如果响应中存在“Auth-User”标头,它将覆盖用于对后端进行身份验证的用户名。
对于SMTP,响应还会考虑“Auth-Error-Code”标题 - 如果存在,它将用作发生错误时的响应代码。否则,535 5.7.0代码将被添加到“Auth-Status”标题中。
例如,如果从认证服务器收到以下响应:
HTTP/1.0 200 OK
Auth-Status: Temporary server problem, try again later
Auth-Error-Code: 451 4.3.0
Auth-Wait: 3
那么SMTP客户端将收到错误
451 4.3.0 Temporary server problem, try again later
如果代理SMTP不需要认证,请求将如下所示:
GET /auth HTTP/1.0
Host: localhost
Auth-Method: none
Auth-User:
Auth-Pass:
Auth-Protocol: smtp
Auth-Login-Attempt: 1
Client-IP: 192.0.2.42
Client-Host: client.example.org
Auth-SMTP-Helo: client.example.org
Auth-SMTP-From: MAIL FROM: <>
Auth-SMTP-To: RCPT TO: <postmaster@mail.example.com>
对于SSL / TLS客户端连接(1.7.11),添加了“Auth-SSL”标头,并且“Auth-SSL-Verify”将包含客户端证书验证的结果(如果启用):“ SUCCESS”,“ FAILED:reason”和“ NONE”如果证书不存在。
在版本1.11.7之前,“
FAILED”结果不包含reason字符串。
当客户端证书存在时,其详细信息将在以下请求标头中传递:“Auth-SSL-Subject”,“Auth-SSL-Issuer”,“Auth-SSL-Serial”和“Auth-SSL-Fingerprint”。如果启用auth_http_pass_client_cert,则证书本身将在“Auth-SSL-Cert”标头中传递。该请求将如下所示:
GET /auth HTTP/1.0
Host: localhost
Auth-Method: plain
Auth-User: user
Auth-Pass: password
Auth-Protocol: imap
Auth-Login-Attempt: 1
Client-IP: 192.0.2.42
Auth-SSL: on
Auth-SSL-Verify: SUCCESS
Auth-SSL-Subject: /CN=example.com
Auth-SSL-Issuer: /CN=example.com
Auth-SSL-Serial: C07AD56B846B5BFF
Auth-SSL-Fingerprint: 29d6a80a123d13355ed16b4b04605e29cb55a5ad
