Serveur HTTP Apache Version 2.5
Serveur HTTP Apache Version 2.5
| Description: | Authentification HTTP du titulaire d'un jeton |
|---|---|
| Statut: | Base |
| Identificateur de Module: | auth_bearer_module |
| Fichier Source: | mod_auth_bearer.c |
Ce module permet d'utiliser l'authentification HTTP du titulaire d'un
jeton pour restreindre l'accès en transmettant le jeton du titulaire aux
fournisseurs donnés. Ce module doit être combiné avec au moins un module de
gestion de jetons comme mod_autht_jwt et un module
d'autorisation comme mod_authz_user.
| Description: | Définit si la vérification des jetons est déléguée à des modules de plus bas niveau |
|---|---|
| Syntaxe: | AuthBearerAuthoritative On|Off |
| Défaut: | AuthBearerAuthoritative On |
| Contexte: | répertoire, .htaccess |
| Surcharges autorisées: | AuthConfig |
| Statut: | Base |
| Module: | mod_auth_bearer |
Normalement, chaque module de vérification de jetons listé à l'aide de la
directive AuthBearerProvider
va tenter de vérifier le jeton, et si ce dernier n'est pas jugé valable,
l'accès sera refusé. Définir explicitement la directive
AuthBearerAuthoritative à Off permet,
dans le cas où le jeton n'est pas reconnu, de déléguer la vérification des
jetons à d'autres modules non basés sur les fournisseurs. Cela ne devrait
être nécessaire que lorsqu'on combine mod_auth_bearer avec
des modules tiers qui ne sont pas configurés à l'aide de la directive
AuthBearerProvider.
Lorsqu'on utilise de tels modules, l'ordre de traitement est déterminé dans
le code source des modules et n'est pas configurable.
| Description: | Définit le/les fournisseur(s) d'authentification pour cette section de localisation |
|---|---|
| Syntaxe: | AuthBearerProvider provider-name
[provider-name] ... |
| Défaut: | AuthBearerProvider file |
| Contexte: | répertoire, .htaccess |
| Surcharges autorisées: | AuthConfig |
| Statut: | Base |
| Module: | mod_auth_bearer |
La directive AuthBearerProvider définit le
fournisseur à utiliser pour vérifier les jetons pour cette section de
localisation. Le fournisseur par défaut jwt est implémenté par
le module mod_autht_jwt. Assurez-vous que le module du
fournisseur choisi est présent dans le serveur.
<Location "/secure">
AuthType bearer
AuthName "private area"
AuthBearerProvider jwt
AuthtJwtVerify hs256 file "/www/etc/jwt.secret"
Require valid-user
</Location>
Les fournisseurs sont interrogés dans l'ordre jusqu'à ce que l'un d'entre eux trouve une correspondance pour le jeton demandé. Cela signifie en général que le jeton a été correctement signé ou qu'il n'est pas périmé.
Le premier fournisseur implémenté est mod_autht_jwt.
| Description: | Transmet un jeton d'authentification du titulaire à l'aide d'une connexion mandatée générée en utilisant l'expression donnée |
|---|---|
| Syntaxe: | AuthBearerProxy off|expression |
| Défaut: | none |
| Contexte: | répertoire, .htaccess |
| Surcharges autorisées: | AuthConfig |
| Statut: | Base |
| Module: | mod_auth_bearer |
| Compatibilité: | Disponible à partir de la version 2.5.1 du serveur HTTP Apache |
L'expression spécifiée est transmise en tant que jeton de titulaire dans l'en-tête Authorization qui est lui-même transmis au serveur ou au service en arrière-plan du serveur web. L'expression est interprétée en utilisant l'interpréteur d'expression qui permet de définir le jeton en fonction des paramètres de la requête.
Dans cet exemple, on transmet un jeton fixé à un serveur d'arrière-plan.
<Location "/demo">
AuthBearerProxy my-fixed-token
</Location>
Dans cet exemple, on transmet la chaîne de paramètres de la requête en tant que jeton au serveur d'arrière-plan.
<Location "/secure">
AuthBearerProxy "%{QUERY_STRING}"
</Location>
<Location "/public">
AuthBearerProxy off
</Location>