Caddy Security 多租户OIDC认证配置实践指南

2025-07-09 03:16:32作者：霍妲思

🔐 Authentication, Authorization, and Accounting (AAA) App and Plugin for Caddy v2. 💎 Implements Form-Based, Basic, Local, LDAP, OpenID Connect, OAuth 2.0 (Github, Google, Facebook, Okta, etc.), SAML Authentication. MFA/2FA with App Authenticators and Yubico. 💎 Authorization with JWT/PASETO tokens. 🔐

项目地址：https://gitcode.com/gh_mirrors/ca/caddy-security

背景概述

在Caddy Security项目中，用户经常需要实现基于不同身份提供者(Identity Provider)的多租户认证场景。本文将以Pocket-ID作为OIDC提供者为例，详细介绍如何配置Caddy Security实现精细化访问控制。

核心配置方案

方案一：多OIDC客户端模式

该方案适用于需要完全隔离的认证体系场景，通过创建多个独立的OIDC客户端实现权限分离：

security {
    # 管理员专用OIDC配置
    oauth identity provider admin {
        realm admin
        driver generic
        client_id ADMIN_CLIENT_ID
        client_secret ADMIN_SECRET
        scopes openid email profile
        base_auth_url https://login.example.net/authorize
        metadata_url https://login.example.net/.well-known/openid-configuration
    }

    # 普通用户OIDC配置
    oauth identity provider user {
        realm user
        driver generic
        client_id USER_CLIENT_ID
        client_secret USER_SECRET
        scopes openid email profile
        base_auth_url https://login.example.net/authorize
        metadata_url https://login.example.net/.well-known/openid-configuration
    }

    authentication portal myportal {
        enable identity provider admin
        enable identity provider user
        
        transform user {
            match realm admin
            action add role admin
        }
        
        transform user {
            match realm user
            action add role user
        }
    }
}

方案二：单OIDC客户端+角色分组模式

更简洁的配置方案，利用单个OIDC客户端配合声明中的groups字段实现角色分配：

security {
    oauth identity provider pocket-id {
        scopes openid email profile groups  # 关键：包含groups声明
        ...
    }

    authorization policy admin_policy {
        allow roles admin
        inject headers with claims
    }

    authorization policy user_policy {
        allow roles user
        inject headers with claims
    }
}

最佳实践建议

会话管理：合理设置token生命周期（如86400秒），平衡安全性与用户体验
防御配置：每个授权策略末尾应添加deny指令，防止权限绕过：

authorization policy strict_policy {
    allow roles admin
    deny  # 显式拒绝其他所有请求
}

地理围栏：可结合MaxMind数据库实现地域访问控制：

@geo_filter {
    maxmind_geolocation {
        db_path "/path/to/GeoLite2-Country.mmdb"
        allow_countries US
    }
}

典型问题解决

角色冲突问题：当用户需要同时具备多种角色时，建议：

在Pocket-ID中配置用户多组隶属关系
使用声明转换器合并角色：

transform user {
    match claim groups admin
    action add role superuser
}

部署架构建议

对于生产环境，推荐采用以下结构：

全局配置
├── 公共OIDC参数
├── 共享认证门户
└── 站点特定配置
    ├── 管理后台（admin角色）
    └── 用户门户（user角色）

通过模块化设计，可以使用Caddy的import指令实现配置复用，大幅提升维护效率。

总结

caddy-security

项目地址：https://gitcode.com/gh_mirrors/ca/caddy-security

登录后查看全文

项目优选

收起

kernel

deepin linux kernel

kernel

openEuler内核是openEuler操作系统的核心，既是系统性能与稳定性的基石，也是连接处理器、设备与服务的桥梁。

Ascend Extension for PyTorch

本项目是CANN提供的transformer类大模型算子库，实现网络在NPU上加速计算。

本项目是CANN提供的神经网络类计算算子库，实现网络在NPU上加速计算。

JiuwenSwarm 是一款基于openJiuwen开发的智能AI Agent，它能够将大语言模型的强大能力，通过你日常使用的各类通讯应用，直接延伸至你的指尖。

本项目是CANN提供的数学类基础计算算子库，实现网络在NPU上加速计算。

本仓库是 Flutter SDK 与 Flutter Engine 的 OpenHarmony 适配版本，由 CPF-Flutter 团队维护。开发者可使用熟悉的 Flutter 技术栈开发 OpenHarmony 应用，3.35.7 及以后的适配版本可基于本仓库源码构建支持 OpenHarmony 的 Flutter Engine。

Dart

1.04 K

271

Caddy Security 多租户OIDC认证配置实践指南

背景概述

核心配置方案

方案一：多OIDC客户端模式

方案二：单OIDC客户端+角色分组模式

最佳实践建议

典型问题解决

部署架构建议

总结

热门内容推荐

最新内容推荐

项目优选

Caddy Security 多租户OIDC认证配置实践指南

背景概述

核心配置方案

方案一：多OIDC客户端模式

方案二：单OIDC客户端+角色分组模式

最佳实践建议

典型问题解决

部署架构建议

总结

相关内容推荐

热门内容推荐

最新内容推荐

项目优选