Franco's questions

我需要帮助来了解身份验证/授权流程的工作原理。我正在参考我目前正在使用的特定技术，但我不太需要技术方面的帮助（尽管如果可以的话我会很感激），而是需要一般性的理解。

我有一个 docker compose 设置（也在生产中使用 kuberentes 集群，因此任何参考都可以）。在该设置中，我将 Traefik 作为我的反向代理。我将 Keycloak 作为我的身份提供者。我想设置中间件，以便入口路由可以受到 Keycloak 的保护。我决定选择 oauth2-proxy 作为该中间件。我尝试设置 oauth2-proxy。以下是一些示例代码：

name: example
services:
  traefik:
    image: traefik:v2.10
    command:
      - "--api.insecure=true"
      - "--providers.docker=true"
      - "--entryPoints.web.address=:80"
      - "--entryPoints.websecure.address=:443"
      - "--providers.docker.exposedByDefault=false"
    ports:
      - "80:80"
      - "443:443"
      - "8082:8080" # Traefik dashboard
    volumes:
      - /var/run/docker.sock:/var/run/docker.sock
    depends_on:
      - keycloak
      - oauth2-proxy

  keycloak:
    container_name: keycloak
    image: quay.io/keycloak/keycloak:26.0.2
    environment:
      KC_HTTP_RELATIVE_PATH: "/auth"
      KC_BOOTSTRAP_ADMIN_USERNAME: "admin"
      KC_BOOTSTRAP_ADMIN_PASSWORD: "admin"
    command: "start-dev"
    labels:
      - "traefik.enable=true"
      # keycloak will be available at localhost/auth
      - "traefik.http.routers.keycloak.rule=PathPrefix(`/auth`)"
      - "traefik.http.services.keycloak.loadbalancer.server.port=8080"

  oauth2-proxy:
    image: quay.io/oauth2-proxy/oauth2-proxy:v7.7.0
    environment:
      - OAUTH2_PROXY_PROVIDER=keycloak-oidc
      - OAUTH2_PROXY_CLIENT_ID=${CLIENT}
      - OAUTH2_PROXY_CLIENT_SECRET=${CLIENT_SECRET}
      - OAUTH2_PROXY_EMAIL_DOMAINS=*
      - OAUTH2_PROXY_UPSTREAMS=static://202
      - OAUTH2_PROXY_HTTP_ADDRESS=0.0.0.0:4180
      - OAUTH2_PROXY_REDIRECT_URL=http://localhost/oauth2/callback
      - OAUTH2_PROXY_OIDC_ISSUER_URL=http://keycloak:8080/auth/realms/${REALM}
      - OAUTH2_PROXY_WHITELIST_DOMAIN=localhost
      - OAUTH2_PROXY_REVERSE_PROXY=true
      - OAUTH2_PROXY_OIDC_EXTRA_AUDIENCES=account,${CLIENT}
      - OAUTH2_PROXY_COOKIE_SECRET="12345678123456"
      - OAUTH2_PROXY_COOKIE_EXPIRE=5m
      - OAUTH2_PROXY_CODE_CHALLENGE_METHOD=S256
      - OAUTH2_PROXY_SKIP_PROVIDER_BUTTON=true
    depends_on:
      - keycloak
    labels:
      - "traefik.enable=true"
      - "traefik.http.middlewares.oauth2-proxy.forwardauth.address=http://oauth2-proxy:4180"
      - "traefik.http.middlewares.oauth2-proxy.forwardauth.authResponseHeaders=Authorization"
      - "traefik.http.routers.oauth2-proxy.rule=PathPrefix(`/oauth2`)"
      - "traefik.http.services.oauth2-proxy.loadbalancer.server.port=4180"

  myapp:
    ...
    labels:
      - "traefik.enable=true"
      - "traefik.http.routers.myapp.rule=PathPrefix(`/`)"
      - "traefik.http.routers.myapp.entrypoints=web,websecure"
      - "traefik.http.services.myapp.loadbalancer.server.port=8080"
      - "traefik.http.routers.myapp.middlewares=oauth2-proxy@docker"

我遇到的第一个问题是发行者 URL，我在尝试其他中间件时也遇到了这个问题

- OAUTH2_PROXY_OIDC_ISSUER_URL=http://keycloak:8080/auth/realms/${REALM}

如果我将其与 一起使用keycloak:8080，oauth2-proxy则连接没有问题。但是，当我的用户访问 时myapp，localhost/他们被重定向到使用 URL 的登录名keycloak:8080，当然他们无权访问该 URL。

好的，那么如果我将发行者 URL 改为localhost/auth/...，那么 oauth2-proxy 将无法初始化，因为它现在无权访问该 URL。

我的第一个问题是，当服务器/后端通过与用户不同的 URL 访问身份提供者时，我该如何解决这个问题？如果我使用第三方 IDP，这不会有问题，但当然事实并非如此。我觉得我在这里有一些关键的误解。无论我使用哪种中间件，是否有不同的设置方法？

继续，我最终可以通过强制 oauth2-proxy 使用正确的 URL 来使其工作，这是 oauth2-proxy 的工作设置。我还添加了一些标头传递，这与我的下一个问题有关。

    environment:
      - OAUTH2_PROXY_PROVIDER=keycloak-oidc
      - OAUTH2_PROXY_SKIP_OIDC_DISCOVERY=true
      # Client Side URL
      - OAUTH2_PROXY_LOGIN_URL=http://localhost/auth/realms/${REALM}/protocol/openid-connect/auth
      # Server Side URLs
      - OAUTH2_PROXY_REDEEM_URL=http://keycloak:8080/auth/realms/${REALM}/protocol/openid-connect/token
      - OAUTH2_PROXY_PROFILE_URL=http://keycloak:8080/auth/realms/${REALM}/protocol/openid-connect/userinfo
      - OAUTH2_PROXY_VALIDATE_URL=http://keycloak:8080/auth/realms/${REALM}/protocol/openid-connect/userinfo
      - OAUTH2_PROXY_OIDC_JWKS_URL=http://keycloak:8080/auth/realms/${REALM}/protocol/openid-connect/certs
      - OAUTH2_PROXY_CLIENT_ID=${CLIENT}
      - OAUTH2_PROXY_CLIENT_SECRET=${CLIENT_SECRET}
      - OAUTH2_PROXY_EMAIL_DOMAINS=*
      - OAUTH2_PROXY_UPSTREAMS=static://202
      - OAUTH2_PROXY_HTTP_ADDRESS=0.0.0.0:4180
      - OAUTH2_PROXY_REDIRECT_URL=http://localhost/oauth2/callback
      - OAUTH2_PROXY_OIDC_ISSUER_URL=http://localhost/auth/realms/${REALM}
      - OAUTH2_PROXY_WHITELIST_DOMAIN=localhost
      - OAUTH2_PROXY_REVERSE_PROXY=true
      - OAUTH2_PROXY_OIDC_EXTRA_AUDIENCES=account,${CLIENT}
      - OAUTH2_PROXY_COOKIE_SECRET="12345678123456"
      - OAUTH2_PROXY_COOKIE_EXPIRE=5m
      - OAUTH2_PROXY_CODE_CHALLENGE_METHOD=S256
      - OAUTH2_PROXY_SKIP_PROVIDER_BUTTON=true
      # Headers
      - OAUTH2_PROXY_SET_AUTHORIZATION_HEADER=true
      - OAUTH2_PROXY_SET_XAUTHREQUEST=true
      - OAUTH2_PROXY_PASS_AUTHORIZATION_HEADER=true
      - OAUTH2_PROXY_PASS_USER_HEADERS=true

很好，现在它处于工作状态，尽管有很多硬编码 URL，并且不再使用端点/.well-known。我不喜欢它。如果我想添加其他中间件（比如说，只允许某些组/角色访问），我必须进行另一个巨大的设置才能使其工作，只需有 1-2 行不同/添加即可。不是很 DRY- 我倾向于我在这里做错了什么。

假设我想访问 auth 标头（这可能是 oauth2-proxy 特定的问题），即使我可以找到与设置为 true 的标头相关的任何内容，但当我转到浏览器开发控制台 > 网络并检查标头时，我找不到任何此类标头。

下一个问题是，我如何访问（甚至使用）这些标头？它们在我没有注意到的地方吗？它们是否编码在 cookie 中？假设myapp是一个简单的前端 Web 应用程序，但我希望它显示已登录用户的电子邮件和/或用户名。我应该如何使用它们？深入一点，这些标头有多可信？例如，如果我想在 中使用 Authorization 标头进行逻辑处理myapp2，在验证 JWT 后我可以信任这些值吗？