Security News
GitHub Removes Malicious Pull Requests Targeting Open Source Repositories
GitHub removed 27 malicious pull requests attempting to inject harmful code across multiple open source repositories, in another round of low-effort attacks.
express-gateway-plugin-oauth
Advanced tools
Plugin para solicitar autorização do serviço de autenticação remoto.
Tecnologia: nodejs
Trata-se de um plugin do express-gateway (https://www.express-gateway.io/docs/plugins/)
Enquanto não resolvemos um repositório de pacotes proprietário, os plugins estão sendo registrados
na própria conta do desenvolvedor.
Neste caso, o plugin está registrado pelo email felipe.dierka@gmail.com
. Caso seja necessário
alteração no plugin, favor entrar em contato por este mesmo email.
Para gerar nova versão do plugin, basta publicar uma nova versão no NPM. São necessário dois processos para isso. Gerar uma nova versão, e publicar a versão gerada.
npm version [<newversion> | major | minor | patch | premajor | preminor | prepatch | prerelease | from-git]
npm publish
Para entender melhor o sistema de versões do npm, acesso: https://docs.npmjs.com/cli/version
Este plugin exporta uma police
do express-gateway, com o objetivo de interceptar as requests, antes
de serem enviadas para o service-endpoint
e verificar com um provedor de autorização configurado,
se aquela request está autorizada.
http:
port: 80
apiEndpoints:
api:
path: '/'
serviceEndpoints:
service:
url: 'http://localhost:81/'
policies:
- proxy
- authentication
pipelines:
- name: pipeline
apiEndpoints:
api
policies:
authentication:
action:
oauth_env: 'auth'
proxy:
action:
serviceEndpoint: service
No exemplo a cima, toda requisição feita para http://localhost
na porta 80, seja direcionado para
o mesmo endereço, porém na porta 81. Mas, antes de passar a request para o destino, o plugin irá
interceptar a requisição, e enviar o token do cabeçalho para o provedor de autorização.
o provedor de autorização deve ser configurado como variável de ambiente na máquina que está rodando o express gateway.
eg.plugin.authentication.auth.host=localhost
eg.plugin.authentication.auth.port=8080
eg.plugin.authentication.auth.contextPath=/auth/eu
Observe a padronização dos valores:
eg.plugin.authentication
é um prefixo para identificar que estas variáveis são pertinentes a este plugin.
auth
é o valor informado no action parameter do plugin:
oauth_env: 'auth'`.
É possível configurar vários provedores de autorização na mesma instância do express-gateway.
Basta especificar o parametro oauth_env
diferente para cada provedor de autenticação.
http:
port: 80
apiEndpoints:
api1:
path: '/api1/*'
api2:
path: '/api2/*'
serviceEndpoints:
service:
url: 'http://localhost:81/'
policies:
- proxy
- authentication
pipelines:
- name: api1
apiEndpoints:
api1
policies:
authentication:
action:
oauth_env: 'api1'
proxy:
action:
serviceEndpoint: service
- name: api2
apiEndpoints:
api2
policies:
authentication:
action:
oauth_env: 'api2'
proxy:
action:
serviceEndpoint: service
Variáveis de ambiente:
eg.plugin.authentication.api1.host=localhost
eg.plugin.authentication.api1.port=8080
eg.plugin.authentication.api1.contextPath=/auth/eu
eg.plugin.authentication.api2.host=localhost
eg.plugin.authentication.api2.port=9090
eg.plugin.authentication.api2.contextPath=/auth/eu
Neste caso, tanto as chamadas feitas através da api http://localhost/api1
como as feitas a partir de
http://localhost/api2
serão direcionadas para o service localizado em http://localhost:81/
.
A diferença aqui, é o provedor de autorização. Para a api1
, a autorização será checada na porta 8080.
Enquatno para a api2
, a autorização será checada na porta 9090.
FAQs
Plugin para solicitar autorização do serviço de autenticação remoto.
The npm package express-gateway-plugin-oauth receives a total of 4 weekly downloads. As such, express-gateway-plugin-oauth popularity was classified as not popular.
We found that express-gateway-plugin-oauth demonstrated a not healthy version release cadence and project activity because the last version was released a year ago. It has 1 open source maintainer collaborating on the project.
Did you know?
Socket for GitHub automatically highlights issues in each pull request and monitors the health of all your open source dependencies. Discover the contents of your packages and block harmful activity before you install or update your dependencies.
Security News
GitHub removed 27 malicious pull requests attempting to inject harmful code across multiple open source repositories, in another round of low-effort attacks.
Security News
RubyGems.org has added a new "maintainer" role that allows for publishing new versions of gems. This new permission type is aimed at improving security for gem owners and the service overall.
Security News
Node.js will be enforcing stricter semver-major PR policies a month before major releases to enhance stability and ensure reliable release candidates.