解決問題

加密簽名的方式可是咱的救星！我們可以拿用戶的用戶名和過期時間數據來給用戶添加簽名的cookies，這樣就能很容易的驗證每個用戶是誰了，同時我們就不用令牌了。

在nginx中，我們要做的就是直接在指定位置配置access_by_lua_file /our/file.lua，這樣這個指定位置就可以保護我們的腳本了。現在，讓我們一起來寫代碼：

-- Some variable declarations.  
local cookie = ngx.var.cookie_MyToken  
local hmac = ""  
local timestamp = ""  
local timestamp_time = 0 
 
-- Check that the cookie exists.  
if cookie == nil or cookie:find(":") == nil then  
    -- Internally rewrite the URL so that we serve  
    -- /auth/ if there's no cookie.  
    ngx.exec("/auth/")  
else 
    -- If there's a cookie, split off the HMAC signature  
    -- and timestamp.  
    local divider = cookie:find(":")  
    hmac = cookie:sub(divider+1)  
    timestamp = cookie:sub(0, divider-1)  
end  
 
-- Verify that the signature is valid.  
if hmac_sha1("some very secret string", timestamp) ~= hmac or tonumber(timestamp) < os.time() then  
    -- If invalid, send to /auth/ again.  
    ngx.exec("/auth/")  
end 

上面的代碼可以直接運行。我們用一些明文來簽名(這種情況下用的是一個時間戳，當然你可以用任何你想用的),之后我們用密文生成HMAC(哈希信息認證碼)，然后一個簽名就生成了，這樣用戶就不能篡改為無效信息了。

當用戶試圖載入一個資源的時候，我們會檢查cookie里面的簽名是否有效，如果是，就通過他的請求。反之，我們會把他們重定向到一個發行口令的服務器，這個服務器會驗證并且在沒有的情況下給予他們一個簽名的口令。

明銳的你可能會發現，上面的代碼存在時間上的漏洞。如果你沒有發現，別難過。嗯，也許會有點難過。

這里是一段Lua的代碼，用來比較兩個字符串在恒定時間上的等值關系（因而能夠阻止任何時間上的攻擊，除非我忽視了什么，這極為可能）：

function compare_strings(str1, str2)  
    -- Constant-time string comparison function.  
    local same = true  
    for i = 1, #str1 do  
        -- If the two strings' lengths are different, sub()  
        -- will just return nil for the remaining length.  
        c1 = str1:sub(i,i)  
        c2 = str2:sub(i,i)  
        if c1 ~= c2 then  
            same = false  
        end  
    end  
    return same  
end 

我已經在函數上應用了時間來區分，如我所知，這是一個在恒定時間下的等值字符串。不同長度的字符串會稍稍改變時間，也許是因為子過程sub應用了一個不同的分支而導致的。而且，c1~=c2分支顯然不是恒定時間的，但是在實際中，它相當接近恒定，所以于我們的例子不會有影響。我更傾向于使用XOR操作，從而確定兩個字符串的XOR結果是否為0, 不過Lua似乎不包括二進制位的XOR操作。如果我在這個判斷上有誤，對于任何糾正我都很感激。

請求處理器

寫一個處理器，來彈出一個基本的驗證窗體不是很難，但是Go沒有完美的文檔，所以我必須自己一點點尋獵。其實非常簡單，最終，這里就是HTTP基本驗證的Go代碼：

func handler(w http.ResponseWriter, r *http.Request) {  
    if username := checkAuth(r); username == "" {  
        w.Header().Set("WWW-Authenticate", `Basic realm="The kingdom of Stavros"`)  
        w.WriteHeader(401)  
        w.Write([]byte("401 Unauthorized\n"))  
    } else {  
        fmt.Printf("Authenticated user %v.\n", username)  
        token := getToken()  
        setTokenCookie(w, token)  
        fmt.Fprintf(w, "<html><head><script>location.reload()</script></head></html>")  
    }  
} 

設置口令和cookie

一旦我們驗證了一個用戶之后，我們需要給他們的口令設置一個cookie。我門只需要做我們用Lua做過的同樣的事情，如上，只是更加簡單，因為Go在標準庫里面就包括一個真加密包。這個代碼一樣很直接明了，即使沒有完全文檔化：

func getToken() string {  
    expiration := int(time.Now().Unix()) + 3600 
    mac := hmac.New(sha1.New, []byte("some very secret string"))  
    mac.Write([]byte(fmt.Sprintf("%v", expiration)))  
    expectedMAC := fmt.Sprintf("%x", mac.Sum(nil))  
 
    return fmt.Sprintf("%v:%s", expiration, expectedMAC)  
}  
 
func setTokenCookie(w http.ResponseWriter, token string) {  
    rawCookie := fmt.Sprintf("MyToken=%s", token)  
    expire := time.Now().Add(time.Hour)  
    cookie := http.Cookie{"MyToken",  
        token,  
        "/",  
        ".example.com",  
        expire,  
        expire.Format(time.UnixDate),  
        3600,  
        false,  
        true,  
        rawCookie,  
        []string{rawCookie}}  
    http.SetCookie(w, &cookie)  
} 

嘗試把他們放在一起

來完成我們這一大段美妙的組合，我們只需要一個函數，用來檢查由用戶提供的驗證信息，而且我們做到了！這里是我從一些庫里面汲取出來的代碼，當前它只是檢查一個特定的用戶名／密碼的組合，所以和第三方的服務的集成就做為留給讀者的作業吧：

func checkAuth(r *http.Request) string {  
    s := strings.SplitN(r.Header.Get("Authorization"), " ", 2)  
    if len(s) != 2 || s[0] != "Basic" {  
        return ""  
    }  
 
    b, err := base64.StdEncoding.DecodeString(s[1])  
    if err != nil {  
        return ""  
    }  
    pair := strings.SplitN(string(b), ":", 2)  
    if len(pair) != 2 {  
        return ""  
    }  
    if pair[0] != "username" || pair[1] != "password" {  
        return ""  
    }  
    return pair[0]  
} 

英文原文：Writing an nginx authentication module in Lua

譯文鏈接：http://www.oschina.net/translate/writing-an-nginx-authentication-module-in-lua