Caddy Security 多租户OIDC认证配置实践指南

2025-07-09 13:11:22作者：霍妲思

🔐 Authentication, Authorization, and Accounting (AAA) App and Plugin for Caddy v2. 💎 Implements Form-Based, Basic, Local, LDAP, OpenID Connect, OAuth 2.0 (Github, Google, Facebook, Okta, etc.), SAML Authentication. MFA/2FA with App Authenticators and Yubico. 💎 Authorization with JWT/PASETO tokens. 🔐

项目地址：https://gitcode.com/gh_mirrors/ca/caddy-security

背景概述

在Caddy Security项目中，用户经常需要实现基于不同身份提供者(Identity Provider)的多租户认证场景。本文将以Pocket-ID作为OIDC提供者为例，详细介绍如何配置Caddy Security实现精细化访问控制。

核心配置方案

方案一：多OIDC客户端模式

该方案适用于需要完全隔离的认证体系场景，通过创建多个独立的OIDC客户端实现权限分离：

security {
    # 管理员专用OIDC配置
    oauth identity provider admin {
        realm admin
        driver generic
        client_id ADMIN_CLIENT_ID
        client_secret ADMIN_SECRET
        scopes openid email profile
        base_auth_url https://login.example.net/authorize
        metadata_url https://login.example.net/.well-known/openid-configuration
    }

    # 普通用户OIDC配置
    oauth identity provider user {
        realm user
        driver generic
        client_id USER_CLIENT_ID
        client_secret USER_SECRET
        scopes openid email profile
        base_auth_url https://login.example.net/authorize
        metadata_url https://login.example.net/.well-known/openid-configuration
    }

    authentication portal myportal {
        enable identity provider admin
        enable identity provider user
        
        transform user {
            match realm admin
            action add role admin
        }
        
        transform user {
            match realm user
            action add role user
        }
    }
}

方案二：单OIDC客户端+角色分组模式

更简洁的配置方案，利用单个OIDC客户端配合声明中的groups字段实现角色分配：

security {
    oauth identity provider pocket-id {
        scopes openid email profile groups  # 关键：包含groups声明
        ...
    }

    authorization policy admin_policy {
        allow roles admin
        inject headers with claims
    }

    authorization policy user_policy {
        allow roles user
        inject headers with claims
    }
}

最佳实践建议

会话管理：合理设置token生命周期（如86400秒），平衡安全性与用户体验
防御配置：每个授权策略末尾应添加deny指令，防止权限绕过：

authorization policy strict_policy {
    allow roles admin
    deny  # 显式拒绝其他所有请求
}

地理围栏：可结合MaxMind数据库实现地域访问控制：

@geo_filter {
    maxmind_geolocation {
        db_path "/path/to/GeoLite2-Country.mmdb"
        allow_countries US
    }
}

典型问题解决

角色冲突问题：当用户需要同时具备多种角色时，建议：

在Pocket-ID中配置用户多组隶属关系
使用声明转换器合并角色：

transform user {
    match claim groups admin
    action add role superuser
}

部署架构建议

对于生产环境，推荐采用以下结构：

全局配置
├── 公共OIDC参数
├── 共享认证门户
└── 站点特定配置
    ├── 管理后台（admin角色）
    └── 用户门户（user角色）

通过模块化设计，可以使用Caddy的import指令实现配置复用，大幅提升维护效率。

总结

caddy-security

项目地址：https://gitcode.com/gh_mirrors/ca/caddy-security

登录后查看全文

项目优选

收起

kernel

deepin linux kernel

nop-entropy

Nop Platform 2.0是基于可逆计算理论实现的采用面向语言编程范式的新一代低代码开发平台，包含基于全新原理从零开始研发的GraphQL引擎、ORM引擎、工作流引擎、报表引擎、规则引擎、批处理引引擎等完整设计。nop-entropy是它的后端部分，采用java语言实现，可选择集成Spring框架或者Quarkus框架。中小企业可以免费商用

Java

leetcode

🔥LeetCode solutions in any programming language | 多种编程语言实现 LeetCode、《剑指 Offer（第 2 版）》、《程序员面试金典（第 6 版）》题解

Java

Cangjie-Examples

本仓将收集和展示高质量的仓颉示例代码，欢迎大家投稿，让全世界看到您的妙趣设计，也让更多人通过您的编码理解和喜爱仓颉语言。

喝着茶写代码！最易用的自托管一站式代码托管平台，包含Git托管，代码审查，团队协作，软件包和CI/CD。

本项目是CANN提供的数学类基础计算算子库，实现网络在NPU上加速计算。

🎉 (RuoYi)官方仓库基于SpringBoot，Spring Security，JWT，Vue3 & Vite、Element Plus 的前后端分离权限管理系统

无需学习 Kubernetes 的容器平台，在 Kubernetes 上构建、部署、组装和管理应用，无需 K8s 专业知识，全流程图形化管理