问Web应用程序身份验证和保护单独的web API (elasticsearch和kibana)

EN

我已经开发了一个web应用程序，它可以自己进行用户身份验证和会话管理。我在弹性搜索中保存了一些数据，现在想用基巴纳访问它。

Elasticsearch提供了一个没有任何身份验证的RESTful web，Kibana是一个纯浏览器端的Javascript应用程序，它通过直接的AJAX调用访问Elasticsearch。也就是说，没有"Kibana服务器“，只有静态HTML和Javascript。

我的问题是:如何最好地实现现有web应用程序和Elasticsearch之间的通用用户登录？

我对特定的Elasticsearch/Kibana解决方案感兴趣，但也对web应用程序和它们使用的外部web API的单点登录的通用设计感兴趣。

保护Elasticsearch/Kibana的推荐方法似乎是在前面有一个Apache或Nginx反向代理，用于SSL终止和用户身份验证(Basic )。但是，在我现有的web应用程序中，HTML表单用户身份验证并不能很好地发挥作用。理想情况下，我希望用户登录使用web应用程序，然后允许直接访问Elasticsearch。

到目前为止，我想出了解决办法：

1. 代理web应用程序中的所有内容:让所有调用都转到进行身份验证的web应用程序(服务器)，让web应用程序向Elasticsearch发出相同的请求，并将响应转发回浏览器。
2. 让web应用程序(服务器)存储会话信息，Apache或Nginx可以以某种方式查找并使用这些信息来授权对反向代理的访问。
3. 放弃网络应用程序登录，并使用基本的auth为一切。

请注意，这是一个单独的安装，所以我实际上不需要任何联邦的SSO解决方案。

我的感觉是，web应用程序(#1)中的代理是一个常见的通用解决方案，但考虑到Kibana直接使用Elasticsearch，让所有东西都通过这个可能比较慢的web应用程序似乎有点重量级。

我还没有找到为代理身份验证设置(#2)设计的开箱即用解决方案。我的想法是让web商店的会话信息出现在memcache之类的地方，并使用web服务器中的一些工具(Apache或Nginx)来基于cookie查找会话，并允许通过身份验证的代理访问。

这个问题似乎类似于直接使用web服务器(Apache或Nginx)提供静态文件，同时使用一个缓慢的web应用程序进行身份验证。不过，我找到的建议非常具体，比如X。