对免认证服务提供apikey验证

embedded/2025/2/22 9:25:41/
http://www.w3.org/2000/svg" style="display: none;">

一些服务不带认证,凡是可以访问到服务端口,都可以正常使用该服务,方便是方便,但是不够安全。
比如ollama默认安装后就是这样。现在据说网上扫一下端口11434,免apikey的ollama服务一大堆。。。
那我们怎样将本机安装的ollama能提供给其他用户使用,并且可以加apikey的限制呢?其实方案有很多,我说一个轻量级的解决方案,nginx代理转发,并且进行header中的Authorization信息的检查。
固定值的可以直接写在nginx.conf配置文件里,最简单;如果是使用json文件来存放apikey信息的话,nginx需要使用lua模块来读取json文件,进行解码,windows版的nginx默认不带lua模块,可以用openresty,它相当于集成了lua模块的nginx。json内容可以由其他应用来维护,不过内容有变化需要考虑,如果要求实时更新,那么最好在应用修改json文件内容时也同时通知nginx来更新;或者干脆由另外一个web服务来负责header中apikey的检查,nginx里要写lua代码去执行调用,根据返回结果来决定是否放行;还有一个就是我最终选择的方案-redis,apikey维护服务在apikey生效或者失效时更新redis的集合,nginx从redis里检查集合里是否包含请求头中的apikey。nginx.conf里的lua部分相关代码如下:

lua">...
http {# 引入 Lua 模块lua_package_path "lualib/?.lua;;";lua_package_cpath "lualib/?.so;;";# 定义 Redis 连接参数upstream redis_backend {server 127.0.0.1:6379;  # Redis 服务器地址keepalive 10;           # 保持连接}...server {listen  443 ssl;...location /ollama/ {#if ($request_method = 'OPTIONS') {#	return 204;#	}access_by_lua_block {-- 获取请求头中的 Authorizationlocal auth_header = ngx.var.http_Authorizationif not auth_header thenngx.status = ngx.HTTP_UNAUTHORIZEDngx.say("Unauthorized: Missing Authorization header")return ngx.exit(ngx.HTTP_UNAUTHORIZED)end-- 连接 Redislocal redis = require "resty.redis"local red = redis:new()red:set_timeout(1000)  -- 设置超时时间为 1 秒local ok, err = red:connect("127.0.0.1", 6379)if not ok thenngx.status = ngx.HTTP_INTERNAL_SERVER_ERRORngx.say("Internal Server Error: Failed to connect to Redis")return ngx.exit(ngx.HTTP_INTERNAL_SERVER_ERROR)end-- 查询 Redis 中是否存在该密钥local is_member, err = red:sismember("auth_keys", auth_header)if not is_member thenngx.status = ngx.HTTP_INTERNAL_SERVER_ERRORngx.say("Internal Server Error: Failed to query Redis")return ngx.exit(ngx.HTTP_INTERNAL_SERVER_ERROR)end-- 关闭 Redis 连接local ok, err = red:set_keepalive(10000, 100)if not ok thenngx.log(ngx.ERR, "Failed to set keepalive: ", err)end-- 检查密钥是否有效if is_member == 0 thenngx.status = ngx.HTTP_UNAUTHORIZEDngx.say("Unauthorized: Invalid Authorization key")return ngx.exit(ngx.HTTP_UNAUTHORIZED)end}# 如果验证通过,代理到目标服务器#add_header 'Access-Control-Allow-Origin' '*';#add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS';#add_header 'Access-Control-Allow-Headers' 'Authorization, Content-Type';#add_header 'Access-Control-Max-Age' 1728000;#proxy_set_header origin http://127.0.0.1:11434;#proxy_set_header X-Real-IP $remote_addr;#proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;#proxy_set_header X-Forwarded-Proto $scheme;#proxy_set_header Authorization $http_authorization;#proxy_set_header Host localhost:11434;proxy_pass http://127.0.0.1:11434;}...}
}
...

主要是可以参考下lua里将header里认证信息与redis集合进行匹配,其他nginx转发设置头信息跟后端服务要求而定。


http://www.ppmy.cn/embedded/164287.html

相关文章

Effective Objective-C 2.0 读书笔记——协议和分类

Effective Objective-C 2.0 读书笔记——协议和分类 文章目录 Effective Objective-C 2.0 读书笔记——协议和分类在分类中添加属性使用 “class-continuation分类” 隐藏实现细节通过协议提供匿名对象 在分类中添加属性 尽管从技术上说,分类里也可以声明属性&…

2025蓝桥杯JAVA编程题练习Day5

1.最少步数【省模拟赛】 问题描述 小蓝要上一个楼梯,楼梯共有 n 级台阶(即小蓝总共要走 nn级)。小蓝每一步可以走 1 级、2 级或 3 级台阶。 请问小蓝至少要多少步才能上到楼梯顶端? 输入格式 输入一行包含一个整数 n。 输出…

XML XML约束 一、XML约束概述

一个XML文档一旦有了约束&#xff0c;那么这个XML文档就只能使用约束中创建的元素及属性。如果约束没有创建<a>元素&#xff0c;那么XML文档就不能使用<a>元素 1 什么是xml约束 因为xml文档是可以自定义元素的&#xff0c;这会让使用xml文档的应用程序无法知道x…

Brave132编译指南 MacOS篇 - 初始化构建环境(五)

1. 引言 经过前面几篇文章的准备&#xff0c;我们已经配置好了Brave浏览器的编译环境&#xff0c;并获取了源代码。本篇将带领大家进入构建流程的下一个关键步骤&#xff1a;初始化构建环境。这个过程将下载和配置所有必要的依赖项&#xff0c;包括庞大的Chromium源代码&#…

每天设计者模式-1:基础面试题

在面试中&#xff0c;设计模式相关的问题几乎是必考项&#xff0c;特别是涉及到架构设计、软件开发和嵌入式系统开发等岗位。掌握常见的设计模式及其应用&#xff0c;不仅有助于提升代码质量&#xff0c;还能在面试中表现出扎实的编程能力。今天&#xff0c;我们来探讨面试中高…

【Linux网络编程】IP协议格式,解包步骤

目录 解析步骤 1.版本字段&#xff08;大小&#xff1a;4比特位&#xff09; 2.首部长度&#xff08;大小&#xff1a;4比特位&#xff09;&#xff08;单位&#xff1a;4字节&#xff09; &#x1f35c;细节解释&#xff1a; 3.服务类型&#xff08;大小&#xff1a;8比特…

坐井说天阔---DeepSeek-R1

前言 DeepSeek-R1这么火&#xff0c;虽然网上很多介绍和解读&#xff0c;但听人家的总不如自己去看看原论文。于是花了大概一周的时间&#xff0c;下班后有进入了研究生的状态---读论文。 DeepSeek这次的目标是探索在没有任何监督数据的情况下训练具有推理能力的大模型&#…

Pickachu靶场记录

1&#xff0c;暴力破解 1&#xff0c;基于表单的暴力破解 对于简单的密码和用户&#xff0c;可以用字典暴力破解 先随便输入用户名和密码&#xff0c;并用bp抓包 &#xff08;如果无法抓包&#xff0c;可以先查一下自己的ip地址&#xff0c;先访问自己的ip在近靶场&#xf…