OAuth2-Proxy — это обратный прокси-сервер с открытым исходным кодом, который обеспечивает аутентификацию с помощью Google, Github или други…

OAuth2-Proxy — это обратный прокси-сервер с открытым исходным кодом, который обеспечивает аутентификацию с помощью Google, Github или других поставщиков. Флаг `--gitlab-group` для авторизации на основе групп в поставщике GitLab перестал работать в выпуске v7.0.0. Независимо от настроек флага, авторизация не была ограничена. Кроме того, любые прошедшие проверку подлинности пользователи имели любые группы, установленные в `--gitlab-group`, добавленные к новому заголовку `X-Forwarded-Groups` в восходящее приложение. При добавлении поддержки авторизации на основе проектов GitLab в #630 была внесена ошибка, из-за которой поле групп сеанса пользователя заполнялось записями конфигурации `--gitlab-group` вместо получения членства в группе отдельного пользователя из конечной точки Userinfo GitLab. Когда группы сеанса сравнивались с разрешенными группами для авторизации, они сопоставлялись неправильно (поскольку оба списка были заполнены одними и теми же данными), поэтому авторизация была разрешена. Это влияет на пользователей GitLab Provider, которые полагаются на членство в группе для ограничений авторизации. Любые прошедшие проверку подлинности пользователи в вашей среде GitLab могут получить доступ к вашим приложениям независимо от ограничений членства в `--gitlab-group`. Эта проблема исправлена в версии v7.1.0. Обходного пути для ошибки членства в группе нет. Но `--gitlab-project` можно настроить для использования членства в проекте в качестве проверок авторизации вместо групп; это не сломано.