Varnish验证缓存的请求

时间:2013-07-16 10:31:57

标签: varnish varnish-vcl esi

我有一个私人内部网风格的网站,每个人都必须在看到任何内容之前登录。一旦他们登录,每个页面都是相同的 - 所以我希望这些页面缓存在Varnish中,但仍然可以快速进行用户访问检查。

所以我想这样做,我会在我的VCL文件中创建一个规则,将每个传入的请求重写为一个文件。此文件未缓存并检查用户是否有效,如果是,则打印包含缓存页面的esi。

这一切都没问题,除了将高速缓存页面的第二个请求标识为经过身份验证。我正在考虑向请求添加查询字符串,并检查它。或者也许有办法检查是否通过esi:include进行了请求。 也许我是以错误的方式接近这个?

有什么建议吗?

3 个答案:

答案 0 :(得分:1)

如果您不想在URL中使用带有身份验证令牌的经过身份验证的请求,则可以检查req.esi_level并确保它对于需要登录的资源大于0。

if (req.esi_level == 0 && req.url ~ "^/private/.*" ) {
    error (403);
}

需要注意的是,除了清漆之外,您需要阻止从后端访问您的后端 - 无论如何您可能正在做什么,但值得注意。

答案 1 :(得分:0)

如果您只想进行基本身份验证检查,则可以使用http://blog.tenya.me/blog/2011/12/14/varnish-http-authentication/中所述的纯HTTP身份验证:

用户:通

$echo -n "foo:bar" | base64

VCL 

sub vcl_fetch {
# ...
  if (! req.http.Authorization ~ "Basic Zm9vOmJhcgo=")
  {
    error 401 "Restricted";
  }
# ...
}

sub vcl_error {
# ...
  if (obj.status == 401) {
    set obj.http.Content-Type = "text/html; charset=utf-8";
    set obj.http.WWW-Authenticate = "Basic realm=Secured";
    synthetic {" 
    <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" 
    "http://www.w3.org/TR/1999/REC-html401-19991224/loose.dtd">
    <HTML>
    <HEAD>
    <TITLE>Error</TITLE>
    <META HTTP-EQUIV='Content-Type' CONTENT='text/html;'>
    </HEAD>
    <BODY><H1>401 Unauthorized (varnish)</H1></BODY>
    </HTML>
    "};
    return (deliver);
  }
# ...
}

如果您更喜欢当前的方法,您可以在第一次请求时设置cookie,然后检查cookie是否存在。

答案 2 :(得分:0)

这是我在开发环境中尝试的内容,我还不确定我们是否会在生产中使用它。

清漆配置

probe checkslash {
    .url = "/robots.txt";
    .interval = 500s;
    .timeout = 10s;
}    

include "backends.vcl";

/** generic config from here down */
sub vcl_recv{

    /* if the drupals are down, this is how long we cache for */
    set req.grace = 6h;

    /* Make sure we direct 443 traffic to the secure drupal */
    if (server.port == 443 ) {
      set req.backend = drpau_ssl_director;

   } else {
      /* port 80 traffic goes to the correct LB */
      set req.backend = drpau_director;
    }
 # just pass through non-page files, and the login page
   if (req.url ~ "(?i)\.(pdf|asc|dat|txt|doc|xls|ppt|tgz|csv|png|gif|jpeg|jpg|ico|swf|css|js|htc|ejs)(\?.*)?$") {
       } else if (req.url ~ "(?i)(sites/default/files)|(js/)|(/login)" ) { 
    } else if (req.esi_level == 0 ) {
     # pass regular pages to a spoecial url
     set req.url = "/esi" + req.url;
   }
    return (lookup);
}



sub vcl_fetch {

 if (req.url ~ "/esi/" && req.esi_level == 0 ) {
       set beresp.do_esi = true; /* Do ESI processing               */ 
    }

}

然后在apache中,我重定向所有通过esi前缀

来的页面请求 
RewriteRule ^esi/(.*)$ test.php [L]

并测试php是

<?php 
define('DRUPAL_ROOT', getcwd());
// We prepare only a minimal bootstrap.
require_once DRUPAL_ROOT . '/includes/bootstrap.inc';
drupal_bootstrap(DRUPAL_BOOTSTRAP_SESSION);
global $user;
$roles = user_roles();

if (in_array('anonymous user', $user->roles)) {
  $uri = preg_replace('#^/esi#', '', $_SERVER[REQUEST_URI]);
  echo "<esi:include src=\"http://$_SERVER[SERVER_NAME]$uri\"/>";
} else {
    header("Location: https://$_SERVER[SERVER_NAME]/login");
}
相关问题
最新问题