deviavir/oauth2_proxy

deviavir/oauth2_proxy 镜像说明

镜像概述

deviavir/oauth2_proxy是bitly/oauth2_proxy的Docker化版本，新增WebSocket支持。它作为反向代理和静态文件服务器，通过OAuth2协议验证用户身份，支持基于***、域名或用户组的访问控制，帮助开发者快速为上游服务添加安全认证层。

核心功能

• 多提供商兼容: 支持Google、GitHub、Azure、***、GitLab、LinkedIn等主流OAuth2提供商。
• 灵活身份验证: 可通过域名、特定列表、Google组、GitHub组织/团队限制访问范围。
• WebSocket代理: 透明转发WebSocket请求至上游服务，适配实时通信场景。
• 静态资源服务: 直接提供本地文件系统中的静态文件，支持路径映射配置。
• 安全配置: 支持HTTPS、HttpOnly/Secure Cookie、请求签名等安全特性。
• 多上游路由: 基于路径将请求转发至不同的上游服务，满足复杂场景需求。

使用场景

• 内部系统保护: 为企业内部工具（如后台管理系统）添加OAuth2认证，无需修改应用代码。
• 静态站点访问控制: 限制文档站点、内部知识库仅对授权用户开放。
• 实时服务安全: 为WebSocket应用（如聊天工具、实时监控系统）添加身份验证。
• 多服务统一认证: 为多个上游服务提供统一的OAuth2认证入口。

配置说明

关键参数

• Client ID/Secret: 从OAuth提供商处获取的客户端凭证。
• Cookie Secret: 加密Cookie的密钥，可通过python -c 'import os,base64; print(base64.b64encode(os.urandom(16)).decode())'生成。
• Upstream: 上游服务地址（如http://127.0.0.1:8080）或静态文件路径（如file:///var/www/static/#/static/）。
• Provider: 指定OAuth提供商（如google、github）。
• Email Domain: 允许访问的***域名（如yourcompany.com，*表示所有域名）。

部署示例

Docker Run命令

bash
docker run -d \
  --name oauth2_proxy \
  -p 4180:4180 \
  -e OAUTH2_PROXY_CLIENT_ID="你的客户端ID" \
  -e OAUTH2_PROXY_CLIENT_SECRET="你的客户端密钥" \
  -e OAUTH2_PROXY_COOKIE_SECRET="你的Cookie密钥" \
  deviavir/oauth2_proxy \
  --email-domain="yourcompany.com" \
  --upstream="http://上游服务地址:8080" \
  --provider="google" \
  --http-address="0.0.0.0:4180"

Docker Compose示例

yaml
version: '3'
services:
  oauth2_proxy:
    image: deviavir/oauth2_proxy
    ports:
      - "4180:4180"
    environment:
      OAUTH2_PROXY_CLIENT_ID: "你的客户端ID"
      OAUTH2_PROXY_CLIENT_SECRET: "你的客户端密钥"
      OAUTH2_PROXY_COOKIE_SECRET: "你的Cookie密钥"
    command:
      - --email-domain=yourcompany.com
      - --upstream=http://上游服务地址:8080
      - --provider=google
      - --http-address=0.0.0.0:4180

注意事项

• 建议使用HTTPS部署，开启--cookie-secure=true确保Cookie安全。
• 若使用Nginx作为前端代理，可通过auth_request指令集成认证功能。
• WebSocket场景需确保上游服务支持WebSocket协议，且镜像配置正确转发。
• 定期更新镜像版本以获取安全补丁和功能更新。