boxboat/okta-nginx Docker 镜像 - 轩辕镜像 | Docker 镜像高效稳定拉取服务
boxboat/okta-nginx自动构建
boxboat
集成Okta OIDC JWT验证的NGINX Docker镜像,用于通过Okta身份认证及JWT令牌验证保护Web应用或API访问。
4 次收藏下载次数: 0状态:自动构建维护者:boxboat仓库类型:镜像最近更新:1 年前
okta-nginx
镜像概述和主要用途
okta-nginx 是一个 Docker 镜像,通过 Okta OpenID Connect 授权码流程(Authorization Code flow)保护上游服务器(upstream server)。该镜像基于 NGINX,集成 Okta OIDC 认证机制,实现对上游应用的身份验证与授权控制,确保只有通过 Okta 认证的用户才能访问受保护资源。
核心功能和特性
- Okta OIDC 认证集成:基于 Okta 授权码流程实现用户认证,支持 JWT(JSON Web Token)验证
- 反向代理能力:将认证通过的请求代理至指定上游服务器
- 灵活的访问控制:可配置受保护路径(LOCATIONS_PROTECTED)与无需保护路径(LOCATIONS_UNPROTECTED)
- 动态配置更新:支持通过脚本(UPDATE_SCRIPT)定期刷新配置
- 自定义请求头传递:可向上游服务器传递基于 JWT 断言(claims)的自定义请求头
- 多服务器支持:通过环境变量后缀(如 _2、_N)配置多个独立的 NGINX 虚拟主机
- 令牌自动刷新:默认注入 JavaScript 实现 Identity Token 过期前自动刷新(可通过 INJECT_REFRESH_JS 禁用)
使用场景和适用范围
- 需要通过 Okta 进行身份验证的 Web 应用或 API 服务
- 需对特定路径实施访问控制的上游服务(如管理后台、敏感数据接口)
- 多域名或多端口场景下的统一认证入口
- 需要向上游传递用户身份信息(如用户名、用户组)的场景
前提条件
- Okta 开发者账户
- 支持
授权码流程的 OpenID Connect 应用(在 Okta 开发者控制台创建)
使用方法和配置说明
环境变量
必填环境变量
| 变量名 | 描述 |
|---|---|
PROXY_PASS | 上游服务器地址,需包含协议、主机和端口,例如 http://localhost:8080 |
CLIENT_ID | Okta OIDC 应用的客户端 ID,可在 Okta 应用「General」标签页获取 |
CLIENT_SECRET | Okta OIDC 应用的客户端密钥,可在 Okta 应用「General」标签页获取 |
ISSUER | Okta 授权服务器 URL,格式为 {Okta 组织 URL}/oauth2/default,例如 [***](组织 URL 可在 Okta 控制台首页右上角获取) |
LOGIN_REDIRECT_URL | 登录回调 URL,必须在 Okta 应用「General」标签页的「登录重定向 URI」中配置。默认路径为 /sso/authorization-code/callback,若设置 SSO_PATH 则为 ${SSO_PATH}/authorization-code/callback |
可选环境变量
| 变量名 | 默认值 | 描述 |
|---|---|---|
APP_POST_LOGIN_URL | - | 认证完成后重定向的应用特定 URL,原始请求 URL 通过 state 查询参数传递 |
COOKIE_DOMAIN | 当前域名 | Cookie 作用域,设置后可支持子域名共享(例如 .example.com) |
COOKIE_NAME | okta-jwt | 存储 Identity Token 的 Cookie 名称 |
INJECT_REFRESH_JS | true | 是否注入自动刷新 Token 的 JavaScript,设为 false 禁用 |
ENDPOINT_AUTHORIZE | ${ISSUER}/v1/authorize | 授权端点 URL |
ENDPOINT_LOGOUT | ${ISSUER}/v1/logout | 登出端点 URL |
ENDPOINT_TOKEN | ${ISSUER}/v1/token | Token 获取端点 URL |
LISTEN | 80 | NGINX 监听端口,支持 TLS 或 Unix 套接字(参考 nginx listen) |
LOCATIONS_PROTECTED | / | 需保护的路径列表(逗号分隔),例如 /api,/admin |
LOCATIONS_UNPROTECTED | 禁用 | 无需保护的路径列表(逗号分隔),直接代理至上游服务器 |
LOGOUT_REDIRECT_URL | 应用源 URL(origin) | 登出后重定向 URL(可相对或绝对路径),登出路径为 /sso/logout 或 ${SSO_PATH}/logout |
PROXY_SET_HEADER_NAMES | 无 | 需传递给上游的请求头名称列表(逗号分隔),需与 PROXY_SET_HEADER_VALUES 配合使用 |
PROXY_SET_HEADER_VALUES | 无 | 与 PROXY_SET_HEADER_NAMES 对应的头值列表(逗号分隔),支持基于断言的 Go 模板(例如 {{.groups}},可使用 sprig 函数) |
REQUEST_TIMEOUT | 30 | 调用 Okta 端点的超时时间(秒) |
SERVER_NAME | _ | NGINX 虚拟主机名称(参考 nginx server_name) |
SSO_PATH | /sso/ | SSO 错误和刷新端点的路径,需包含首尾斜杠(例如 /okta-sso/) |
UPDATE_SCRIPT | 无 | 配置更新脚本路径(可执行 shell 脚本),首次更新传递参数 true,后续传递 false |
UPDATE_PERIOD_SECONDS | 60 | 若设置 UPDATE_SCRIPT,脚本的执行周期(秒,启动时执行一次,之后按周期执行) |
VALIDATE_CLAIMS_TEMPLATE | 禁用 | 断言验证模板(Go 模板),需返回 true 或 1,例如 {{if has "admin" .groups}}true{{else}}false{{end}}(支持 sprig 函数) |
使用方法和配置说明(续)
部署示例
Docker Run 命令
bashdocker run -d \ -p 80:80 \ -e PROXY_PASS="[***]" \ -e CLIENT_ID="your-okta-client-id" \ -e CLIENT_SECRET="your-okta-client-secret" \ -e ISSUER="[***]" \ -e LOGIN_REDIRECT_URL="[***]" \ -e LOCATIONS_PROTECTED="/api,/admin" \ -e LOCATIONS_UNPROTECTED="/public" \ okta-nginx:latest
Docker Compose 配置
yamlversion: '3' services: okta-nginx: image: okta-nginx:latest ports: - "80:80" environment: - PROXY_PASS=[***] - CLIENT_ID=your-okta-client-id - CLIENT_SECRET=your-okta-client-secret - ISSUER=[***] - LOGIN_REDIRECT_URL=[***] - LOCATIONS_PROTECTED=/api,/admin - LOCATIONS_UNPROTECTED=/public - LISTEN=80 - SERVER_NAME=your-app-domain.com depends_on: - upstream-app upstream-app: image: your-upstream-app:latest # 上游应用配置...
从源码构建(可选)
若需从源码构建镜像,执行以下步骤:
-
构建容器:
bash./docker-build.sh -
在
vars.env中设置环境变量(参考上文环境变量说明) -
运行容器:
bash./docker-run.sh
传递给上游服务器的认证头
认证通过后,镜像会向上游服务器传递以下标准头:
X-Forwarded-User:用户唯一标识,取自 JWT 断言中的sub字段
自定义 NGINX 配置
添加配置至 http 块
将自定义配置文件(.conf 后缀)挂载至 /etc/nginx/conf.d 目录,文件内容会被包含到 NGINX 的 http 块中。
添加配置至 server 块
创建文件 /etc/nginx/includes/default-server.conf,其内容会被包含到默认 server 块中,用于自定义服务器级配置(如 SSL 证书、额外的 location 块等)。
多服务器支持
通过为环境变量添加数字后缀(从 2 开始),可配置多个独立的 NGINX 虚拟主机(server)。
服务器 2 配置示例(必填变量)
LISTEN_2:服务器 2 的监听端口(必填)SERVER_NAME_2:服务器 2 的虚拟主机名称(必填)PROXY_PASS_2:服务器 2 的上游地址(必填)LOGIN_REDIRECT_URL_2:服务器 2 的登录回调 URL(必填)
服务器 2 配置示例(可选变量)
APP_POST_LOGIN_URL_2COOKIE_DOMAIN_2COOKIE_NAME_2LOCATIONS_PROTECTED_2LOCATIONS_UNPROTECTED_2LOGOUT_REDIRECT_URL_2PROXY_SET_HEADER_NAMES_2PROXY_SET_HEADER_VALUES_2VALIDATE_CLAIMS_TEMPLATE_2
服务器 N 通用规则
对于第 N 个服务器(N ≥ 2):
- 所有与服务器相关的环境变量需添加
_N后缀(如LISTEN_N、SERVER_NAME_N) - 自定义服务器 N 的
server块配置需挂载至/etc/nginx/includes/default-server.N.conf
nginx/nginx-ingress
NGINX 官方镜像
NGINX和NGINX Plus入口控制器是专为Kubernetes设计的流量管理工具,主要用于管理外部HTTP/HTTPS流量进入Kubernetes集群,支持请求路由、负载均衡、SSL终止、流量控制等功能,适用于容器化应用和微服务架构,其中NGINX Plus还提供商业支持、高级监控和增强的负载均衡能力,帮助提升集群流量管理的效率与安全性。
114 次收藏10亿+ 次下载
20 天前更新
nginx/nginx-prometheus-exporter
NGINX 官方镜像
NGINX Prometheus Exporter用于收集并导出NGINX与NGINX Plus的监控指标,供Prometheus采集以实现对其运行状态的监控。
50 次收藏5000万+ 次下载
1 个月前更新
nginxinc/nginx-unprivileged
nginxinc
非特权NGINX Docker构建文件是指用于构建以非root用户身份在Docker容器中运行NGINX的配置文件,通过预设用户权限、环境变量及安全参数,确保NGINX在低权限模式下仍能正常处理HTTP请求、反向代理及负载均衡等功能,有效降低因容器漏洞引发的权限提升风险,适用于对安全性要求较高的生产环境部署场景。
184 次收藏10亿+ 次下载
21 天前更新
nginx/nginx-ingress-operator
NGINX 官方镜像
用于NGINX和NGINX Plus入口控制器的NGINX入口操作器,基于Helm图表构建。
3 次收藏100万+ 次下载
26 天前更新
nginxinc/nginx-s3-gateway
nginxinc
基于NGINX的认证和缓存网关,用于S3 API后端服务。
6 次收藏500万+ 次下载
28 天前更新
nginx/unit
NGINX 官方镜像
此仓库已停用,建议用户改用Docker官方提供的镜像,具体官方镜像可通过链接[***]
66 次收藏1000万+ 次下载
3 年前更新
镜像拉取常见问题
使用与功能问题
错误码与失败问题
manifest unknown 错误:镜像不存在或标签错误
manifest unknown 错误
TLS/SSL 证书验证失败:Docker pull 时 HTTPS 证书错误
TLS 证书验证失败
DNS 解析超时:无法解析镜像仓库地址或连接超时
DNS 解析超时
410 Gone 错误:Docker 版本过低导致协议不兼容
410 错误:版本过低
402 Payment Required 错误:流量耗尽错误提示
402 错误:流量耗尽
401 UNAUTHORIZED 错误:身份认证失败或登录信息错误
身份认证失败错误
429 Too Many Requests 错误:请求频率超出专业版限制
429 限流错误
Docker login 凭证保存错误:Cannot autolaunch D-Bus(不影响登录)
凭证保存错误
账号 / 计费 / 权限
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"