热门搜索:
bitnami/oauth2-proxy
自动构建
Bitnami oauth2-proxy安全镜像,提供基于OAuth2协议的认证代理功能,用于保护Web应用访问安全,支持通过第三方OAuth2提供商验证用户身份并控制访问权限。
Bitnami OAuth2 Proxy 镜像文档
镜像概述和主要用途
OAuth2 Proxy 是一款反向代理和静态文件服务器,通过 OAuth2 身份提供商(如 Google、GitHub 等)验证用户身份,支持基于***、域名或用户组的访问控制。Bitnami 提供的该镜像基于安全加固理念构建,适用于为内部应用、API 服务或静态资源提供身份验证保护。
核心功能和特性
- 多身份提供商支持:兼容 Google、GitHub、Azure、GitLab 等主流 OAuth2/OIDC 提供商。
- 细粒度访问控制:可通过***地址、域名或用户组限制访问权限。
- 安全加固:采用非 root 用户运行容器,减少***面;基于 Photon Linux 构建,最小化系统组件。
- 灵活配置方式:支持通过配置文件、命令行参数或环境变量进行配置。
- FIPS 合规性:Bitnami Secure Images 版本支持 FIPS 模式配置,满足安全合规需求。
- 可观测性:日志输出至标准输出流(stdout),便于集成日志收集工具。
使用场景和适用范围
- 内部应用保护:为未内置身份验证的内部系统(如仪表盘、管理后台)添加 OAuth2 认证层。
- API 访问控制:作为 API 网关前置组件,验证客户端身份后转发请求至上游服务。
- 单点登录(SSO):为多应用环境提供统一的 OAuth2 身份验证入口。
- 安全合规场景:需满足 FIPS 140-2/3 标准的***、***等行业应用部署。
快速开始
基本运行命令
bashdocker run --name oauth2-proxy bitnami/oauth2-proxy:latest
重要通知:Bitnami 镜像目录即将变更
自 2025 年 8 月 28 日起,Bitnami 将升级公共镜像目录,推出 Bitnami Secure Images 计划,聚焦安全加固镜像:
- 社区版变更:免费 tier 将仅提供安全加固的 "latest" 标签镜像(用于开发),非加固的 Debian 基础镜像将逐步废弃。
- 镜像迁移:现有所有镜像(含历史版本标签,如 2.50.0、10.6)将迁移至
docker.io/bitnamilegacy仓库,不再更新。 - 生产环境建议:生产 workload 需使用 Bitnami Secure Images,包含安全加固、CVE 透明度(VEX/KEV)、SBOM 和企业支持。
详情参见 https://github.com/bitnami/containers/issues/83267%E3%80%82
为什么选择 Bitnami Secure Images?
- 安全优化:基于最小化 Photon Linux 构建,减少***面;通过 SLSA-3 合规工厂生成,包含签名、SBOM 和病毒扫描报告。
- 漏洞响应:支持 VEX/KEV 标准,提供 CVE 可利用性透明化;上游补丁发布后数小时内更新镜像。
- 一致性体验:容器、虚拟机和云镜像使用相同组件和配置逻辑,便于跨环境迁移。
- FIPS 支持:部分镜像提供 FIPS 模式配置,满足合规需求。
获取镜像
拉取预构建镜像
推荐从 Docker Hub 拉取最新版:
bashdocker pull bitnami/oauth2-proxy:latest
指定版本(需注意 2025 年 8 月后历史版本迁移至 bitnamilegacy 仓库):
bashdocker pull bitnami/oauth2-proxy:[TAG] # 例如:2.50.0
本地构建镜像
bashgit clone https://github.com/bitnami/containers.git cd bitnami/oauth2-proxy/[VERSION]/[OS] # 替换为具体版本和操作系统 docker build -t bitnami/oauth2-proxy:latest .
部署方案
Docker Compose 示例
创建 docker-compose.yml:
yamlversion: '3' services: oauth2-proxy: image: bitnami/oauth2-proxy:latest container_name: oauth2-proxy ports: - "4180:4180" # 默认监听端口 environment: - OAUTH2_PROXY_PROVIDER=github # 身份提供商(github/google/azure等) - OAUTH2_PROXY_CLIENT_ID=your_github_client_id # OAuth应用客户端ID - OAUTH2_PROXY_CLIENT_SECRET=your_github_client_secret # OAuth应用密钥 - OAUTH2_PROXY_REDIRECT_URL=http://localhost:4180/oauth2/callback # 回调URL - OAUTH2_PROXY_UPSTREAMS=http://upstream-service:8080 # 上游服务地址 - OAUTH2_PROXY_EMAIL_DOMAINS=* # 允许所有域名邮箱(或指定域名如example.com) - OAUTH2_PROXY_LISTEN_ADDRESS=0.0.0.0:4180 # 监听地址 - OPENSSL_FIPS=yes # 启用FIPS模式(仅Secure Images支持) networks: - oauth2-network upstream-service: # 示例上游服务(如需要保护的应用) image: nginx:alpine networks: - oauth2-network networks: oauth2-network: driver: bridge
启动服务:
bashdocker-compose up -d
网络配置
容器互联
通过 Docker 网络实现 OAuth2 Proxy 与上游服务通信:
- 创建自定义网络:
bashdocker network create oauth2-proxy-network --driver bridge
- 启动 OAuth2 Proxy 并加入网络:
bashdocker run --name oauth2-proxy --network oauth2-proxy-network \ -e OAUTH2_PROXY_UPSTREAMS=http://upstream-app:8080 \ bitnami/oauth2-proxy:latest
- 启动上游服务(使用相同网络):
bashdocker run --name upstream-app --network oauth2-proxy-network nginx:alpine
容器间可通过容器名(如 upstream-app)作为 hostname 通信。
配置说明
配置方式
OAuth2 Proxy 支持三种配置方式(优先级:命令行参数 > 环境变量 > 配置文件):
- 配置文件:挂载配置文件至容器,通过
--config指定路径:
bashdocker run --name oauth2-proxy -v /local/config.cfg:/etc/oauth2-proxy/config.cfg \ bitnami/oauth2-proxy:latest --config=/etc/oauth2-proxy/config.cfg
-
命令行参数:直接在运行命令中添加,如
--provider=github --client-id=xxx。 -
环境变量:通过
-e指定,环境变量名需添加OAUTH2_PROXY_前缀,如OAUTH2_PROXY_PROVIDER=github。
核心环境变量
| 环境变量 | 描述 | 示例值 |
|---|---|---|
OAUTH2_PROXY_PROVIDER | 身份提供商类型 | github、google、azure |
OAUTH2_PROXY_CLIENT_ID | OAuth应用客户端ID | abcd1234 |
OAUTH2_PROXY_CLIENT_SECRET | OAuth应用客户端密钥 | secret123 |
OAUTH2_PROXY_REDIRECT_URL | 认证回调URL | http://localhost:4180/oauth2/callback |
OAUTH2_PROXY_UPSTREAMS | 上游服务地址(多个用逗号分隔) | http://app1:80,http://app2:8080 |
OAUTH2_PROXY_EMAIL_DOMAINS | 允许访问的***域名(*表示所有) | example.com,company.org |
OAUTH2_PROXY_LISTEN_ADDRESS | 监听地址和端口 | 0.0.0.0:4180 |
OAUTH2_PROXY_COOKIE_SECRET | 加密Cookie的密钥(需16/32/64字节) | `$(head -c 32 /dev/urandom |
FIPS 配置(仅 Secure Images)
通过环境变量启用/禁用 FIPS 模式:
OPENSSL_FIPS=yes:启用 FIPS 模式(默认)OPENSSL_FIPS=no:禁用 FIPS 模式
日志管理
查看日志
容器日志输出至 stdout,通过 docker logs 查看:
bashdocker logs oauth2-proxy
日志驱动配置
通过 --log-driver 指定日志驱动(如 json-file、syslog):
bashdocker run --name oauth2-proxy --log-driver=syslog bitnami/oauth2-proxy:latest
维护与升级
升级镜像
- 拉取最新镜像:
bashdocker pull bitnami/oauth2-proxy:latest
- 停止并备份当前容器(如有持久化数据):
bashdocker stop oauth2-proxy rsync -a /path/to/persistence /path/to/persistence.bkp.$(date +%Y%m%d-%H%M%S) # 备份数据
- 移除旧容器:
bashdocker rm -v oauth2-proxy
- 启动新容器:
bashdocker run --name oauth2-proxy bitnami/oauth2-proxy:latest # 如需恢复数据,添加-v挂载
注意事项
- 2024年1月16日起:官方移除了
docker-compose.yaml文件(原用于内部测试),生产环境建议手动编写配置。 - 非root容器:默认以非root用户(UID 1001)运行,挂载宿主机目录时需确保权限正确(如
chown -R 1001:1001 /local/path)。 - 敏感信息保护:客户端密钥、Cookie密钥等敏感信息建议通过环境变量注入或配置文件加密,避免明文暴露。
贡献与问题反馈
- 贡献:通过 https://github.com/bitnami/containers/pulls 提交改进。
- 问题反馈:提交 https://github.com/bitnami/containers/issues%EF%BC%8C%E9%9C%80%E5%8C%85%E5%90%AB%E5%AE%BF%E4%B8%BB%E6%9C%BAOS%E3%80%81Docker%E7%89%88%E6%9C%AC%E3%80%81%E5%AE%B9%E5%99%A8%E6%97%A5%E5%BF%97%E7%AD%89%E4%BF%A1%E6%81%AF%E3%80%82
许可证
Copyright © 2025 Broadcom. 基于 Apache License 2.0 许可。详情参见 LICENSE。
商标说明:本镜像由 Bitnami 打包,相关商标归各自所有者所有,使用不代表关联或背书。
镜像拉取方式
您可以使用以下命令拉取该镜像。请将 <标签> 替换为具体的标签版本。如需查看所有可用标签版本,请访问 标签列表页面。
轩辕镜像加速拉取命令点我查看更多 oauth2-proxy 镜像标签
docker pull docker.xuanyuan.run/bitnami/oauth2-proxy:<标签>
DockerHub 原生拉取命令
docker pull bitnami/oauth2-proxy:<标签>
更多 oauth2-proxy 镜像推荐
bitnamicharts/oauth2-proxy
bitnamicharts
Bitnami提供的OAuth2 Proxy Helm chart,用于在Kubernetes环境中简化OAuth2认证代理的部署与管理。
100万+ 次下载
8 个月前更新
bitnamilegacy/oauth2-proxy
bitnamilegacy
Bitnami旧版镜像(不再更新)
10万+ 次下载
7 个月前更新
giantswarm/oauth2-proxy
giantswarm
暂无描述
1万+ 次下载
7 个月前更新
dcm4che/oauth2-proxy
dcm4che
OAuth2 Proxy + dcm4che sample TLS certificates
1万+ 次下载
1 年前更新
dockerrio/oauth2-proxy
dockerrio
暂无描述
1万+ 次下载
2 年前更新
轩辕镜像配置手册
探索更多轩辕镜像的使用方法,找到最适合您系统的配置方式
Docker 配置
登录仓库拉取
通过 Docker 登录认证访问私有仓库
专属域名拉取
无需登录使用专属域名
K8s Containerd
Kubernetes 集群配置 Containerd
K3s
K3s 轻量级 Kubernetes 镜像加速
Dev Containers
VS Code Dev Containers 配置
Podman
Podman 容器引擎配置
Singularity/Apptainer
HPC 科学计算容器配置
其他仓库配置
ghcr、Quay、nvcr 等镜像仓库
Harbor 镜像源配置
Harbor Proxy Repository 对接专属域名
Portainer 镜像源配置
Portainer Registries 加速拉取
Nexus 镜像源配置
Nexus3 Docker Proxy 内网缓存
系统配置
需要其他帮助?请查看我们的 常见问题Docker 镜像访问常见问题解答 或 提交工单
镜像拉取常见问题
使用与功能问题
配置了专属域名后,docker search 为什么会报错?
docker search 限制
Docker Hub 上有的镜像,为什么在轩辕镜像网站搜不到?
站内搜不到镜像
机器不能直连外网时,怎么用 docker save / load 迁镜像?
离线 save/load
docker pull 拉插件报错(plugin v1+json)怎么办?
插件要用 plugin install
WSL 里 Docker 拉镜像特别慢,怎么排查和优化?
WSL 拉取慢
轩辕镜像安全吗?如何用 digest 校验镜像没被篡改?
安全与 digest
第一次用轩辕镜像拉 Docker 镜像,要怎么登录和配置?
新手拉取配置
轩辕镜像合规吗?轩辕镜像的合规是怎么做的?
镜像合规机制
错误码与失败问题
docker pull 提示 manifest unknown 怎么办?
manifest unknown
docker pull 提示 no matching manifest 怎么办?
no matching manifest(架构)
镜像已拉取完成,却提示 invalid tar header 或 failed to register layer 怎么办?
invalid tar header(解压)
Docker pull 时 HTTPS / TLS 证书验证失败怎么办?
TLS 证书失败
Docker pull 时 DNS 解析超时或连不上仓库怎么办?
DNS 超时
docker 无法连接轩辕镜像域名怎么办?
域名连通性排查
Docker 拉取出现 410 Gone 怎么办?
410 Gone 排查
出现 402 或「流量用尽」提示怎么办?
402 与流量用尽
Docker 拉取提示 UNAUTHORIZED(401)怎么办?
401 认证失败
遇到 429 Too Many Requests(请求太频繁)怎么办?
429 限流
docker login 提示 Cannot autolaunch D-Bus,还算登录成功吗?
D-Bus 凭证提示
为什么会出现「单层超过 20GB」或 413,无法加速拉取?
413 与超大单层
账号 / 计费 / 权限
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"