shib_request_set

Директива shib_request_set в NGINX Shibboleth Auth Request module позволяет задать атрибут Shibboleth, который будет помещён в HTTP-запрос. Эта директива работает путём определения соответствия между атрибутами, полученными в ответе авторизатора Shibboleth FastCGI, и требуемыми заголовками или NGINX-переменными в исходном запросе. По сути, она позволяет передавать атрибуты пользователя, такие как адрес электронной почты или членство в группах, которые могут быть использованы при последующей обработке NGINX или отправлены на бэкенд-приложения.

Директива требует два ключевых параметра: имя устанавливаемого атрибута и переменную или заголовок назначения, в котором этот атрибут будет сохранён. Первый параметр обычно представляет собой строку с именем атрибута Shibboleth, тогда как второй указывает, где в контексте запроса NGINX значение должно сохраняться (например, в качестве пользовательского заголовка или конкретной переменной). Это позволяет бэкенд-приложениям иметь необходимый контекст авторизации для корректной обработки проверенных запросов.

Однако крайне важно, чтобы эта директива использовалась в правильных контекстах NGINX (http, server и location) и в сочетании с shib_request для обеспечения корректной работы. Обработка значений атрибутов также должна выполняться аккуратно, чтобы избежать внедрения заголовков или подделки со стороны злоумышленников, поскольку атрибуты потенциально могут быть изменены в процессе их передачи.