phantom_token_realm
Директива `phantom_token_realm` определяет область для заголовка WWW-Authenticate при использовании фантомных токенов в NGINX.
Описание
Директива phantom_token_realm является частью Phantom Token NGINX Module, который служит для повышения безопасности API путём управления токенами доступа в веб-запросах. Настроив phantom_token_realm, администраторы могут указать область аутентификации, которая будет включена в заголовок WWW-Authenticate, в соответствии со спецификацией OAuth 2.0 Bearer Token, изложенной в RFC 6750.
На практике, когда эта директива установлена, она настраивает указанную область, которая информирует клиентов о требуемой области аутентификации. Если запрос не проходит из‑за отсутствия действительной авторизации, сервер NGINX в ответ отправит статус 401 Unauthorized, включив определённую область в заголовок WWW-Authenticate ответа. Это информирует клиента о требуемой области аутентификации и создаёт предпосылки для получения токена перед повторной попыткой запроса.
Эту директиву следует использовать в сочетании с другими настройками модуля для обеспечения корректной обработки и интроспекции токенов доступа. По сути она служит описательной меткой контекста безопасности, однако должна быть правильно согласована со значениями, ожидаемыми клиентскими приложениями, для оптимальной работы.
Пример конфига
location /api {
phantom_token_realm "mySecureRealm";
phantom_token_enable on;
phantom_token_introspection_endpoint "https://introspection.example.com/";
}Убедитесь, что имя realm не содержит специальных символов, которые могут сделать синтаксис недействительным.
Директива phantom_token_realm должна быть корректно установлена в контексте location; в противном случае она может не примениться так, как ожидается.
Учтите, что нельзя указать несколько realm; убедитесь, что вы задаёте тот realm, который точно соответствует вашему контексту безопасности.