Caddy-Security项目实现基于用户邮箱的自动仪表盘重定向方案

2025-07-09 05:57:28作者：沈韬淼Beryl

🔐 Authentication, Authorization, and Accounting (AAA) App and Plugin for Caddy v2. 💎 Implements Form-Based, Basic, Local, LDAP, OpenID Connect, OAuth 2.0 (Github, Google, Facebook, Okta, etc.), SAML Authentication. MFA/2FA with App Authenticators and Yubico. 💎 Authorization with JWT/PASETO tokens. 🔐

项目地址：https://gitcode.com/gh_mirrors/ca/caddy-security

背景介绍

在现代Web应用中，多租户架构和个性化用户体验变得越来越重要。Caddy-Security作为Caddy服务器的安全插件，提供了强大的身份认证和授权功能。本文将详细介绍如何利用Caddy-Security实现基于用户邮箱的自动仪表盘重定向功能。

核心需求分析

该方案需要实现以下功能：

用户通过OIDC提供商(如Authentik)进行统一身份认证
根据用户邮箱自动识别用户身份
将用户重定向到其专属的仪表盘子域名
确保整个流程的安全性和可靠性

技术方案设计

1. Caddy-Security基础配置

首先需要配置Caddy-Security作为OIDC客户端与身份提供商对接：

security {
  oauth identity provider generic {
    realm dash
    driver generic
    client_id <CLIENT_ID>
    client_secret <SECRET>
    scopes openid email profile
    base_auth_url https://sso.example.com/
    metadata_url https://sso.example.com/application/o/dash/.well-known/openid-configuration
  }
}

2. 用户角色转换配置

通过transform功能将用户组或邮箱映射为内部角色：

transform user {
  match groups andrey-keksik
  action add role authp/andrey_keksik
}

transform user {
  match email andrey@example.com
  action add role authp/dash_admin
}

3. 授权策略设置

为不同角色设置访问控制策略：

authorization policy pass_andrey_keksik {
  set auth url https://dash.example.com
  allow roles authp/andrey_keksik
}

4. JavaScript重定向实现

核心重定向逻辑通过自定义JavaScript实现：

(async () => {
  const whoamiEndpoint = "/whoami";
  const portalEndpoint = "/portal";
  const dashboardBaseUrl = "https://dash.example.com";

  async function fetchUserData(path) {
    try {
      const response = await fetch(path, {
        method: "GET",
        headers: {
          "Content-Type": "application/json",
          Accept: "application/json",
        },
      });
      if (response.ok) {
        return await response.json();
      }
    } catch (error) {
      console.error("获取用户数据出错", error);
    }
    return null;
  }

  try {
    if (typeof window !== "undefined") {
      const currentURL = new URL(window.location.href);
      if (currentURL.href === dashboardBaseUrl + portalEndpoint) {
        const userData = await fetchUserData(dashboardBaseUrl + whoamiEndpoint);
        if (userData?.email) {
          const userId = userData.email.substring(0, userData.email.indexOf('@'));
          window.location.href = `https://${userId}.${new URL(dashboardBaseUrl).hostname}`;
        }
      } 
    }
  } catch (error) {
    console.error("重定向过程中出错", error);
  }
})();

实现原理详解

身份认证流程：
- 用户访问主仪表盘域名(dash.example.com)
- Caddy-Security将用户重定向到OIDC提供商进行认证
- 认证成功后，用户被带回门户页面
自动重定向机制：
- 门户页面加载自定义JavaScript
- JavaScript调用/whoami接口获取用户信息
- 从邮箱地址提取用户名前缀
- 构造专属子域名并执行重定向
访问控制：
- 每个子域名(如andrey.dash.example.com)配置独立的授权策略
- 只有拥有对应角色的用户才能访问

技术优势

无状态设计：依赖浏览器端JavaScript实现重定向，不依赖服务端会话状态
灵活性：可以轻松扩展支持更多用户和仪表盘
安全性：基于标准的OIDC协议和角色访问控制
用户体验：自动跳转减少用户操作步骤

部署注意事项

确保所有子域名(*.dash.example.com)的SSL证书有效
正确配置Caddy的域名路由规则
测试不同浏览器的JavaScript兼容性
考虑添加重定向失败的回退机制

总结

通过Caddy-Security结合自定义JavaScript，我们实现了一个高效、安全的自动仪表盘重定向方案。该方案特别适合需要为不同用户提供专属视图的多租户应用场景，既保证了安全性，又提升了用户体验。开发者可以根据实际需求调整角色映射规则和重定向逻辑，构建更加个性化的访问控制系统。

caddy-security