Остановить apache от пересылки Базовые заголовки Auth для обратного прокси-сайта tomcat

Question

Как остановить Apache 2.4 от пересылки Базовые заголовки Auth для обратного прокрутки сайта tomcat. Приложение-получатель пытается использовать заголовки для входа пользователя в приложение, которое нарушает работу приложения.

я рассматривал возможность использования

RequestHeader unset Authorization 

Но это только отключает Basic Auth полностью

Вот ВХост:

<VirtualHost *:80> 
    ServerName app.company.tld 
    ErrorLog "/var/log/company-proxy/app_prox_error_log" 
    CustomLog "/var/log/company-proxy/app_prox_access_log" common 
    SSLProxyEngine On 
    ProxyRequests Off 
    <Proxy *> 
      Order deny,allow 
      Deny from all 
      Allow from all 
    </Proxy> 
    <Location /> 
      AuthType Basic 
      AuthName "Proxy Auth" 
      AuthUserFile /var/www/company-auth/APP/.htpasswd 
      Require user username 
      Satisfy any 
      Deny from all 
      Allow from 1.0.0.0/16 
    </Location> 
    ProxyPreserveHost On 
    ProxyPass/http://app.company.tld:1000/ 
    ProxyPassReverse/http://app.company.tld:1000/ 
</VirtualHost> 

Answer 1

Ваша первоначальная идея верна, RequestHeader unset Authorization правильный путь сделай это. Это будет не отключить базовый auth на переднем конце, так как механизм unset работает позже проверки аутентификации, но это предотвратит доступ заголовка Authorization к бэкэнд.

Если вашему бэкенду нужны auth headers, это другое дело, но если это не так, то это правильный (и тщательно протестированный) метод для этого.