hermanosgecko/authentik Docker 镜像 - 轩辕镜像 | Docker 镜像高效稳定拉取服务

authentik

一个轻量级的转发认证服务，为Traefik反向代理/负载均衡器提供登录和认证功能，使用Apache基本认证（htpasswd）文件。基于traefik-forward-auth的概念，但使用文件型认证提供者替代了Google/OIDC。

核心功能和特性

• 基于htpasswd文件的用户认证，支持多种密码格式（Apache MD5、SHA1、libc crypt或纯文本）
• 与Traefik反向代理无缝集成，通过转发认证机制保护后端服务
• 可配置的会话管理，包括会话有效期、Cookie名称和作用域
• 支持通过环境变量灵活配置认证参数

使用场景和适用范围

适用于需要为Traefik代理的服务添加简单认证保护的场景，特别是：

• 内部服务或管理界面的访问控制
• 不需要复杂身份提供商（如OIDC）的小型部署环境
• 需要基于用户名/密码进行访问限制的应用

使用方法

基本部署示例

以下是使用docker-compose部署authentik与Traefik的示例配置：

yaml
version: '3'

services:
  traefik:
    image: traefik:1.7
    command: [
      "--web", 
      "--docker", 
      "--docker.domain=docker.localhost"
    ]
    depends_on:
      - "authentik"
    ports:
      - "80:80"
    volumes:
      - /var/run/docker.sock:/var/run/docker.sock:ro
    networks:
      traefik-net:
      public-net:
    labels:
      - "traefik.port=8080"
      - "traefik.frontend.rule=Host:traefik.docker.localhost"
      - "traefik.frontend.auth.forward.address=[***]"
      - "traefik.frontend.auth.forward.trustForwardHeader=true"
      - "traefik.frontend.auth.forward.authResponseHeaders=X-Forwarded-User"
      
  authentik:
    image: hermanosgecko/authentik:latest
    environment:
      - INSECURE_COOKIE=true  # 示例未使用HTTPS，生产环境请勿使用
      - COOKIE_DOMAIN=docker.localhost
      - AUTH_HOST=auth.docker.localhost 
      - SECRET=THIS_IS_A_SECRET 
    networks:
      traefik-net:
        aliases:
          - "authentik"
    volumes:
      - ${PWD}/htpasswd:/htpasswd:ro
    labels:
      - "traefik.port=4567"
      - "traefik.frontend.rule=Host:auth.docker.localhost"
      - "traefik.frontend.auth.forward.address=[***]"
      - "traefik.frontend.auth.forward.trustForwardHeader=true"
      - "traefik.frontend.auth.forward.authResponseHeaders=X-Forwarded-User"

  whoami:
    image: stefanscherer/whoami:latest
    networks:
      traefik-net:
    labels:
      - "traefik.port=8080"
      - "traefik.frontend.rule=Host:whoami.docker.localhost"
      - "traefik.frontend.auth.forward.address=[***]"
      - "traefik.frontend.auth.forward.trustForwardHeader=true"
      - "traefik.frontend.auth.forward.authResponseHeaders=X-Forwarded-User"


networks:
  traefik-net:
    internal: true
  public-net:

配置说明

参数说明

容器镜像通过运行时参数进行配置，格式为<外部>:<内部>。例如，-p 8080:80表示将容器内的80端口映射到主机的8080端口。

核心概念

用户文件

通过htpasswd文件限制可登录用户。支持的密码格式包括Apache MD5、SHA1、libc crypt或纯文本，同一文件中可混合使用不同加密类型的密码。

转发头

认证后的用户信息通过X-Forwarded-User头传递，需在Traefik配置中添加authResponseHeaders=X-Forwarded-User（如示例中的labels配置）。

操作流程

1. 用户请求app10.test.com/home/page
2. 请求被重定向到登录页面
3. 用户验证通过后，系统在test.com域下设置认证Cookie
4. 用户被重定向回app10.test.com/home/page
5. 请求被允许访问

注意：必须确保AUTH_HOST是COOKIE_DOMAIN的子域，且指向authentik容器的请求已正确路由（如示例中通过Traefik labels配置）。

许可证

Apache 2.0