Initial vault setup

Catalogue-Self-Hosted/apps/app-nforwardauth.md

@@ -0,0 +1,89 @@
+---
+title: nforwardauth
+created: 2026-06-07
+updated: 2026-06-07
+type: app
+tags: [catalogue, authentication, forwardauth, nginx, sso, lightweight]
+confidence: high
+contested: false
+sources: [https://selfh.st/apps/?tag=Authentication, https://github.com/nicholasgasior/nforwardauth]
+---
+
+# 🔐 nforwardauth
+
+> ForwardAuth minimaliste pour Nginx : un serveur léger qui ajoute une couche d'authentification devant vos apps, alternative simplifiée à oauth2-proxy.
+
+## 📋 Informations Générales
+
+| Attribut | Valeur |
+|----------|--------|
+| **Nom** | nforwardauth |
+| **Slug** | app-nforwardauth |
+| **Description** | ForwardAuth léger pour Nginx (alternative oauth2-proxy) |
+| **Site officiel** | https://github.com/nicholasgasior/nforwardauth |
+| **Repository** | https://github.com/nicholasgasior/nforwardauth |
+| **Stars** | 157 ⭐ |
+| **Licence** | MIT |
+| **Langage principal** | Go |
+| **Catégorie** | Authentication |
+| **Tags** | [catalogue, authentication, forwardauth, nginx, sso, lightweight] |
+
+## 📝 Description
+nforwardauth est un serveur **ForwardAuth** minimaliste écrit en Go, conçu spécifiquement pour s'interfacer avec **Nginx** via le module `auth_request`. Il agit comme un point de contrôle d'authentification centralisé : Nginx interroge nforwardauth avant de laisser passer une requête vers une app upstream, et nforwardauth vérifie la session/cookie de l'utilisateur.
+
+L'idée est de proposer une alternative plus simple et plus rapide à configurer que `oauth2-proxy` pour les utilisateurs de Nginx (par opposition à Traefik, qui a `forwardauth` natif). Le projet supporte plusieurs providers OIDC (Google, GitHub, Authentik, Keycloak...), gère la session via cookies signés, et fournit une page de login personnalisable.
+
+Idéal pour les homelabs qui utilisent **Nginx** comme reverse proxy et qui veulent ajouter une auth devant quelques services sans déployer un IdM complet. Très léger, configuration simple, parfait pour les petits déploiements.
+
+## 🚀 Installation
+### Via Docker (recommandé)
+```yaml
+# docker-compose.yml
+services:
+  nforwardauth:
+    image: ghcr.io/nicholasgasior/nforwardauth:latest
+    ports:
+      - "4180:4180"
+    environment:
+      NFA_PROVIDER: oidc
+      NFA_OIDC_ISSUER: https://authentik.example.com/application/o/myapp
+      NFA_OIDC_CLIENT_ID: nforwardauth
+      NFA_OIDC_CLIENT_SECRET: secret-ici
+      NFA_COOKIE_SECRET: changez-moi-32-caracteres-min
+      NFA_REDIRECT_URL: https://auth.example.com/oauth2/callback
+    restart: unless-stopped
+```
+
+### Installation manuelle
+Télécharger le binaire Go depuis GitHub Releases, créer un fichier de configuration YAML ou variables d'environnement, lancer `./nforwardauth`. Prévoir Nginx avec `auth_request` configuré.
+
+## ⚙️ Configuration
+- **Provider OIDC** : n'importe quel IdM compatible (Authentik, Keycloak, Auth0, Google)
+- **Cookies** : secrets signés HMAC, durée configurable
+- **Nginx** : directive `auth_request /oauth2/auth` sur les locations
+- **Whitelist** : bypass d'auth pour certains chemins (/health, /static)
+- **Headers** : transmission email, username, groups vers l'upstream
+
+## 🔗 Alternatives
+- **oauth2-proxy** — référence, plus complet et mature
+- **Authelia** — SSO avec 2FA intégré, multi-proxy
+- **Traefik ForwardAuth** — middleware natif Traefik
+
+## 🔒 Sécurité
+- Toujours servir via **HTTPS** (Nginx + Let's Encrypt)
+- Utiliser un **cookie secret** robuste (32+ caractères)
+- Configurer `SameSite=Strict` sur les cookies de session
+- Surveiller les logs pour détecter les tentatives d'intrusion
+
+## 📚 Ressources
+- Repository GitHub : https://github.com/nicholasgasior/nforwardauth
+- Documentation : README du dépôt
+
+## 🔗 Pages Liées
+- [[cat-authentication]]
+- [[app-oauth2-proxy]] — Référence forward auth
+- [[app-authelia]] — SSO avec 2FA
+- [[app-nginx-proxy-manager]] ou [[app-traefik]]
+- [[app-keycloak]] — IdM provider OIDC
+- [[recettes-docker-compose]]
+- [[securisation-home-lab]]