Caddy-Security模块配置中的常见误区与正确用法

2025-07-09 23:54:31作者：管翌锬

🔐 Authentication, Authorization, and Accounting (AAA) App and Plugin for Caddy v2. 💎 Implements Form-Based, Basic, Local, LDAP, OpenID Connect, OAuth 2.0 (Github, Google, Facebook, Okta, etc.), SAML Authentication. MFA/2FA with App Authenticators and Yubico. 💎 Authorization with JWT/PASETO tokens. 🔐

项目地址：https://gitcode.com/gh_mirrors/ca/caddy-security

安全模块的基本概念

Caddy-Security是一个为Caddy服务器提供增强安全功能的模块，它包含了OAuth认证、身份验证门户和授权策略等关键组件。该模块通过插件形式扩展了Caddy的核心功能，使管理员能够轻松实现复杂的访问控制机制。

配置错误的典型表现

许多用户在初次使用Caddy-Security模块时会遇到"unrecognized directive"错误提示，这通常是由于对模块配置结构的误解造成的。最常见的错误包括：

将security指令错误地嵌套在服务器块内部
混淆了模块指令的层次关系
未正确理解全局配置与站点特定配置的区别

正确的配置结构

正确的Caddy-Security配置应当遵循以下结构原则：

security指令必须是顶级指令，不能包含在任何站点块内
认证门户(authentication portal)和授权策略(authorization policy)需要在全局配置中定义
站点配置中通过authenticate with和authorize with引用预定义的策略

配置示例解析

以下是一个经过修正的正确配置示例：

security {
    oauth identity provider google {
        realm google
        driver google
        client_id {env.GOOGLE_CLIENT_ID}
        client_secret {env.GOOGLE_CLIENT_SECRET}
        scopes openid email profile
    }

    authentication portal myportal {
        enable identity provider google
        ui {
            links {
                "返回主页" https://example.com
            }
        }
    }

    authorization policy mypolicy {
        allow roles authp/user
    }
}

example.com {
    authenticate with myportal
    authorize with mypolicy
    reverse_proxy localhost:8080
}