问题标签 [mod-auth-openidc]

我正在为我们的 SSO 拼图寻找配件。

目前我们在 WSO2 身份提供者后面有一个 OpenLDAP。客户端（服务提供者）将授权重定向到 IP（OAuth2）并接收 access_token。

一切都好。

下一步是在另一个服务提供商上验证这个令牌，在这种情况下，一个反向代理（Apache 或 Nginx）驻留在另一个 EC2 实例上，它保护了许多未受保护的第 3 方应用程序（我们无法触及的第 3 方）源代码，但我们自己托管）。哪些工具可以满足此要求？

我知道 OAuth2 规范在这里留下了一个中断，并且有一个草稿添加了一个/introspect调用来验证这个令牌。我也知道 pingidentity 将此草案作为 Apache 模块 ( https://github.com/pingidentity/mod_auth_openidc ) 的一部分来实现。

我只是想知道如何在 WSO2-IS 方面实现这一点，因为我没有找到文档。

*奖励：我们在部署 WSO2（SQL 错误）和使用它（https://wso2.org/jira/browse/IDENTITY-3009）时也遇到了几个错误，这让我们对产品有点不信任。

apache 中是否有任何方法可以根据您获得的 http 代码响应设置重写条件？将（302）重定向到我的身份验证提供程序的 oauth 代理（apache）前面的服务器；但是我不希望它代理 websocket 目录中的任何内容——我宁愿它 403 代替。这一切都是为了防止它不断地尝试重新验证它没有被授权并为 OpenIDC 建立大量的状态 cookie。

感谢您的考虑。

像这样的东西：

我不确定这是否是在 OIDC 或 apache 中处理的，但我看到的是这个，希望得到一些建议：

客户登录到多个 Google 帐户并在帐户选择器中点击了错误的帐户，他们得到了 401 Unauthorized

然后他们尝试返回 OIDC 服务器并继续获取未经授权的信息。即使他们清除 cookie 等也是如此。

我能让他们重新登录的唯一可靠方法是他们在 Safari 中打开一个私人窗口或在 Chrome 中打开另一个个性。

有没有办法让 401 重定向到 Google 帐户选择器，然后允许 apache 重试？基本上，一旦他们从 apache 获得 401 - 通过 openidc - 就没有好方法再次重新验证。有没有办法让人们更容易重试登录？

提前致谢。我的配置如下：

我的应用程序在 tomcat (v8) 上运行，需要角色才能工作。到目前为止，我使用在 server.xml 中配置的自定义 JDBCRealm 来管理用户及其角色。另外，到目前为止，我还是直接访问了 tomcat 网络服务器。

现在我尝试将 Apache2 HTTPD 与 mod_auth_openidc 和 AJP 一起使用。我想让我的用户通过 OpenID Connect 进行身份验证。另外，我想让 OpenID Connect 处理授权。我创建了一个 Auth0-Account 并使用他们的服务来测试我的应用程序。tomcatAuthentication="false"在我添加属性和tomcatAuthorization="true"tomcat 的 AJP 连接器之后，它似乎有效。

该tomcatAuthorization="true"属性基本上启用了 tomcat 的授权，并让它创建 aGenericPrincipal而不是 a CoyotePrincipal，它没有角色。

Auth0 在他们的网站上提供了一个接口，可以将元数据添加到我尝试添加角色的 JSON 字符串中。可悲的是，这没有奏效。

有没有办法让tomcat知道用户使用OpenID Connect和AJP拥有哪些角色？

我有一个在 apache 2.2 上运行并且没有任何身份验证的基本 Web 应用程序。网站内容是静态网页。
我们的小组织目前正在为所有网站实施mod_auth_openidc。
我想在基本的静态 Web 应用程序之上实现mod_auth_openidc身份验证。

我怎样才能实现它？
我是 apache 配置和mod_auth_openidc的新手。我用谷歌搜索了一些文章来实现它，但我找不到任何文章。我在 Oauth2 服务器上为我的应用程序创建了一个静态帐户。

有人可以指出我如何使用mod_auth_openidc和mod_proxy配置为我的静态网页应用程序启用身份验证的正确方向吗？

我已经在 Ubuntu 14.04 LTS 上为 apache2 设置了openidc。一切都运行顺利（我认为）除了我找不到任何关于如何配置允许用户（白）列表的文档。

我有一个非常小的稳定用户列表，所以我想使用一些简单的东西，比如 txt 文件。如果有人可以向我指出一些文档或示例，将不胜感激

下面是我的 apache 配置文件的一个例外。我想要类似于下面的 Require 语句的东西

我已经测试了登录使用，但这并没有提供太多隐私:)

因为 mod_auth_openidc 是 Apache 2.x HTTP 服务器的身份验证/授权模块，它根据 OpenID Connect Provider 对用户进行身份验证。如果 OpenID Connect Provider 支持 STS（安全令牌服务），那么是否支持 mod_auth_openidc。我找不到任何解释这一点的资源。

我试图让 mod_auth_openidc apache 模块在 ubuntu 服务器上运行。我的问题是，apache 无法识别模块的命令，尽管它已启用（使用 apachectl -M 检查）并因 systemctl 的以下消息而崩溃：

相关的 apache2.conf 部分：

apachectl -M 的输出：

libapache2-mod-auth-openid 版本：0.8-1build1

apache2版本：2.4.18-2ubuntu3.1

我完全不知道这个问题来自哪里，在此先感谢您的帮助！

我mod_auth_openidc正在研究centos7但找不到参考如何提取传递的用户信息的文档。

我的日志显示该模块正在执行以下询问

我尝试在 httpd.conf 中设置以下两项

然后使用<?php echo $_SESSION['REMOTE_USER']; ?>但我没有得到任何返回的变量。

谢谢艺术

I need to connect an Apache webserver on port 8079 with a Tomcat instance on port 8080 through mod_auth_openidc module (for a specific login). The purpose is to carry on the user identification through OpenID Connect to the webapp hosted on Tomcat with no need of further login request.

I configure OIDC according the OIDC server request (e.g. Google) and registered the client, I also enabled mod_jk. I'm not able to reach last mile. I also considered to use the PROXY/REVERSEPROXY within the virtualhost section on http.config apache file. So far this is not correcting redirecting as supposed..

Can someone provide help?