Authelia是一款开源身份验证和授权服务器，通过 Web 门户为您的应用程序提供双因素身份验证和单点登录 (SSO)。它通过允许、拒绝或重定向请求，相当于反向代理

以下是简单的架构图：

Authelia 直接连接到反向代理，但从不直接连接到应用程序后端，因此受保护 API 的客户端发送的有效负载永远不会到达 Authelia，只有身份验证部分（例如授权标头）才会到达。因此，受保护的 API 可以是 REST、GraphQL 或基于 HTTP 的任何其他类型的 API。

Authelia可以作为独立服务从AUR ⁠、 APT ⁠、 FreeBSD Ports ⁠安装，也可以使用静态二进制⁠、 .deb 包作为Docker ⁠或Kubernetes ⁠上的容器安装。

Authelia 的门户网站如下所示：

功能摘要

以下是 Authelia 的主要功能列表：

· 几种第二因素方法：

· 支持 FIDO2 ⁠ WebAuthn ⁠的安全密钥和YubiKey ⁠等设备。

· 基于时间的一次性密码⁠，带有兼容的身份验证应用程序。

· 使用Duo的移动推送通知。

· 通过电子邮件确认身份验证，重置密码。

· 无效身份验证尝试次数过多后将受到访问限制。

· 使用符合子域、用户、用户组成员身份、请求 uri、请求方法和网络等标准的规则进行细粒度的访问控制。

· 每个规则可选择单因素或双因素策略。

· 支持对受单因素策略保护的端点进行基本身份验证。

· 使用远程数据库和 Redis 作为高可用性 KV 存储，实现高可用性。

· 使用ForwardAuth ⁠中间件即可与Traefik ⁠兼容。

· 通过 LinuxServer ⁠的SWAG ⁠容器和指南⁠精心挑选配置。

· 使用forward_auth 指令与Caddy兼容。

· Kubernetes 支持：

· 与多个 Kubernetes 入口控制器兼容：

· 入口-nginx

· Traefik Kubernetes CRD

· Traefik Kubernetes Ingress

· Istio

· 使用我们的图表⁠通过 Helm 安装的 Beta 支持。

· 对OAuth 2.0 和 OpenID Connect 1.0的Beta 支持。

代理支持

Authelia 与nginx ⁠、Traefik ⁠、Caddy ⁠、Skipper ⁠、Envoy ⁠或HAProxy ⁠结合使用。

部署

部署Authelia主要有三种方法。

Docker
Kubernetes
裸机

docker部署见：https://www.authelia.com/integration/deployment/docker/Kubernetes见：https://www.authelia.com/integration/kubernetes/introduction/裸机：https://www.authelia.com/integration/deployment/bare-metal/

认证接口和代理配置详情请见：

https://www.authelia.com/integration/proxies/introduction/

文档要看不明白我就简单解释下使用思路：

反向代理进行集成

我们需要把Authelia，针对 url 来进行单点登录控制访问权限，这里我们得用到反向代理。

流程

访问 A 地址 --> 跳转到https://authelia.ycloud.net/auth（举例根据自己实际情况） --> Authelia认证接口成功

中间件配置文件：

    server {      listen       8080 ssl;      listen  [::]:8080 ssl;      server_name  localhost;      ssl_certificate      /etc/nginx/ssl/tls.crt;      ssl_certificate_key  /etc/nginx/ssl/tls.key;      location / {          auth_request /auth;          error_page 401 = /login;          proxy_set_header Host $host;          proxy_set_header X-Real-IP $remote_addr;          proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;          proxy_set_header Authorization "Bearer $cookie_authelia_session";          proxy_set_header Cookie $http_cookie;          proxy_hide_header Strict-Transport-Security;          proxy_pass http://127.0.0.1:80;      }      location /auth {        internal;        proxy_pass_request_body off;        proxy_set_header Content-Length "";        proxy_set_header X-Original-URI $request_uri;        proxy_set_header Authorization "Bearer $cookie_authelia_session";        proxy_set_header Cookie $http_cookie;        proxy_pass https://authelia.ycloud.net/auth/api/verify;      }      location /login {        return 302  https://authelia.ycloud.net/auth;      }    }