在Caddy Docker Proxy中使用Authelia实现认证的配置指南

前言

Caddy作为一款现代化的Web服务器，与Docker生态系统的集成越来越紧密。Caddy Docker Proxy项目允许用户通过Docker标签来配置Caddy服务器，这为容器化环境中的Web服务管理提供了极大便利。本文将详细介绍如何在Caddy Docker Proxy中配置Authelia认证服务。

基础配置

Authelia是一款开源的认证和授权服务器，可以与Caddy配合使用，为Web应用提供额外的安全层。在传统Caddyfile配置中，我们通常会使用类似以下的代码片段：

(authenticate-with-authelia) {
    @forceAuth {
        not header x-authelia-whitelist XXX
    }
    forward_auth @forceAuth authelia:9091 {
        uri /api/verify?rd=https://authelia.swtk.eu/
        copy_headers Remote-User Remote-Groups Remote-Name Remote-Email
        trusted_proxies private_ranges
    }
}

Docker标签转换

当使用Caddy Docker Proxy时，我们需要将这些配置转换为Docker标签。正确的转换方式如下：

caddy_90: (secure)
caddy_90.forward_auth: '{args[0]} authelia:9091'
caddy_90.forward_auth.uri: /api/verify?rd=https://auth.example.com
caddy_90.forward_auth.copy_headers: Remote-User Remote-Groups Remote-Name Remote-Email

这里有几个关键点需要注意：

1. 括号()在标签中必须保留，它们表示这是一个代码片段(snippet)
2. 数字后缀(如_90)用于控制配置加载顺序，可以省略
3. {args[0]}允许在导入时指定匹配规则

应用到具体服务

要将这个认证配置应用到具体服务，可以使用以下标签：

caddy: my-app.example.com
caddy.reverse_proxy: "{{upstreams 8080}}"
caddy.import: secure *

其中secure *表示对所有请求都启用Authelia认证。*作为参数传递给{args[0]}。

路径排除策略

如果需要排除某些路径不进行认证，应该在Authelia的配置中进行设置，而不是在Caddy配置中。Authelia提供了灵活的访问控制规则，可以基于路径、域名等多种条件进行配置。

常见问题解决

1. 配置不生效：确保括号()在标签中正确使用
2. 顺序问题：使用数字后缀控制配置加载顺序
3. 参数传递：{args[0]}允许在导入时灵活指定匹配规则

总结

通过Caddy Docker Proxy的标签系统，我们可以将Authelia认证服务优雅地集成到容器化环境中。相比传统的Caddyfile配置，这种方式更加符合Docker生态的实践，也便于管理和维护。记住关键点：保留括号、注意顺序、灵活使用参数，就能轻松实现安全的Web应用认证。

对于更复杂的认证需求，可以考虑结合Authelia的详细访问控制规则，构建更加精细化的安全体系。