ngx_lua实现登录逻辑

最近在公司做一个简单的portal，本来很简单的，只用ngx_lua就可以实现所有的业务逻辑，不需要upstream上游服务。但被要求接入公司内部的用户校验系统，说白了就是一个登录过程，只允许公司内部的用户可以登录访问。

公司内部有一整套组件，只要在业务代码里嵌入改组件，就能自动检测用户是否已经登录、或session是否过期，是则跳转到登录界面，用户输入密码验证后，重新跳转会原始访问的页面。

但公司提供的组件都是基于常用的业务语言的，如php、java，我也不想再加上这些玩意，于是考虑用ngx_lua实现这样一套登录逻辑。下面是一个测试配置，基本总结了nginx中实现登录的方法。

    lua_shared_dict stats 10m;
        init_by_lua '
                local stats = ngx.shared.stats
                stats:set("flag",1)
        ';

    server {
                listen 80 so_keepalive=on;

                set $flag 0;
                rewrite_by_lua '
                        local stdo = string.match(ngx.var.uri, "(%a+%.do)")
                        if stdo == nil then
                                local res = ngx.location.capture("/isLoginExpired.do")
                                ngx.var.flag = res.body
                        end
                ';

                location /isLoginExpired.do {
                        content_by_lua '
                                local stats = ngx.shared.stats
                                local flag = stats:get("flag")
                                ngx.print(flag)
                        ';
                }

        location / {

                  content_by_lua '
                        if ngx.var.flag == "1" then
                                local query = "backuri="..ngx.var.request_uri
                                query = string.gsub(query,"&","%%26")
                                return ngx.redirect("/redirect?"..query, 302) 
                        else
                                local new_uri = "/fcgi"..ngx.var.request_uri
                                ngx.exec("/fcgi")
                        end
                  ';

        }

                location /redirect {
                        content_by_lua '
                                local stats = ngx.shared.stats
                --      do login or update cookies, and then flag=0
                                stats:set("flag",0)
                                local backuri = ngx.var.arg_backuri
                                return ngx.redirect(backuri, 302)
                        ';
                }

                location /fcgi {
                        content_by_lua '
                                ngx.say(ngx.var.request_uri)
                                ngx.say("come into fcgi")
                                ngx.say(ngx.var.flag)
                                ngx.say(ngx.var.right)
                        '; 
                }

    }

 

这里用共享内存 stats：flag模拟是否登录的标志位，初始为1，表示未登录。

对于所有请求，首先用一段rewrite_by_lua代码来判断是否登录，这里主要就是查看stats:flag的值，其中可以利用ngx_lua提供的强大的子请求功能。这里要注意的是，所用子请求的uri一定要排除在要判断登录态请求之外（即该/isLoginExpired.do请求不能再去判断登录态，否则会造成死循环）。

之后所有请求进入 location / {...}，这里主要利用前面判断的结果（ngx.var.flag的值，不要和那个stats:flag混淆了，名字没起好），没有登录，则利用ngx.redirect()做302跳转，跳转到登录界面，用户可以输入密码，这里简单的模拟了一下，直接把stats:flag置0，并且添加query语句，带上backuri字段。

一般登录应用中，都会读取backuri字段，登录认证后，重新302到该backuri。例子中的location /redirect {...} 就是模拟了这样一个登录应用。

请求重新来之后，进入location / {...}， 判断已登录，则通过ngx.exec()直接内部跳转到具体的业务location。

 

一开始的时候还是觉得比较绕的，理清楚之后还是比较简洁的，这里面用到ngx_lua的几个强大的功能，也是一次很好的实践

ngx.location.capture()　　　　子请求

ngx.redirect()　　　　　　　　等同于nginx原生的rewrite .. .. redirect （302跳转）

ngx.exec()　　　　　　　　　  等同于nginx原生的rewrite .. .. break （内部跳转）

 

运行结果如下

 

 

不当之处，欢迎指正