TinyAuth项目新增Docker标签支持实现精细化访问控制

TinyAuth作为一个轻量级的认证服务工具，近期通过引入Docker标签支持功能，实现了更精细化的访问控制策略。这项创新允许管理员直接在容器配置中定义特定服务的访问权限，大大简化了多服务环境下的权限管理。

功能设计原理

新功能的核心思想是利用Docker容器的标签系统来存储访问控制信息。当请求到达时，TinyAuth会解析请求的域名，提取对应的容器名称，然后检查该容器是否配置了特定的访问控制标签。

系统主要识别两类标签：

• 用户白名单标签：定义允许访问该服务的用户列表
• 访问URL标签：明确指定该服务对应的访问地址

实现细节

在实际实现中，系统会按照以下逻辑处理请求：

1. 解析请求域名，提取最具体的子域名部分作为容器标识
2. 查询对应容器的标签配置
3. 检查当前用户是否在允许访问的列表中
4. 根据检查结果允许或拒绝访问

这种设计确保了在多级子域名环境下也能正确匹配到目标容器。例如，对于请求地址"sd1.sd0.domain.com"，系统会优先匹配名为"sd1"的容器配置。

配置示例

以下是一个典型的使用示例，展示了如何为Dozzle服务配置专属访问控制：

dozzle:
  container_name: dozzle
  image: amir20/dozzle:latest
  volumes:
    - /var/run/docker.sock:/var/run/docker.sock
  labels:
    tinyauth.whitelist: foo@gmail.com, bar@gmail.com
    tinyauth.url: ${private_protocol}dozzle.${private_domain}

在这个配置中，只有foo@gmail.com和bar@gmail.com两个邮箱地址的用户可以访问Dozzle服务。

技术优势

这项改进带来了几个显著优势：

1. 配置简化：权限管理与服务定义合二为一，减少配置文件的分散
2. 维护便捷：修改服务配置时可以直接调整相关权限，避免遗漏
3. 灵活性高：每个服务可以有自己的访问策略，互不干扰
4. 可读性强：权限配置直观明了，便于团队协作和理解

适用场景

这种基于标签的访问控制特别适合以下场景：

• 多租户环境，不同服务需要不同的访问策略
• 开发测试环境，需要快速调整各个微服务的访问权限
• 需要细粒度控制的生产环境，确保服务间隔离

TinyAuth的这一功能升级，为容器化环境提供了更加灵活、便捷的访问控制解决方案，进一步巩固了其作为轻量级认证服务的地位。