如何在客户端不支持身份验证头部的情况下进行身份验证？

TL;DR：如果客户端不支持身份验证头部，则如何针对NGINX进行身份验证？

我正在使用NGINX作为服务器端服务的反向代理，并使用[1NCE] (https://1nce.com/en)作为移动设备的LTE载波，构建一个与物联网相关项目。所有流量都基于SSL加密的HTTPBasicAuth进行身份验证，并处理“普通”请求的方式如期而至。

由于移动服务可能会被中断，互联网连接可能会丢失，因此我希望发送SMS进行关键状态报告和警报通知。[1NCE支持以MO SMS（移动始发SMS）为基础的短信]（https://1nce.com/en/help-center/tutorials-documentations/sms-functionality/），这些短信由1NCE的内部基础设施处理，并转发到可配置的API端点。因此，MO SMS没有传递到指定的电话，而是通过API请求转发到我需要在我的一侧进行处理的端点。

根据[1NCE的SMS文档]（https://1nce.com/en/help-center/tutorials-documentations/sms-functionality/）和与其客户支持的协商，SMS转发不支持任何身份验证头。短信转发只能通过指定HTTPS URL（包括所需的API端点）和端口来完成。然后在请求体中将传入的SMS包装在给定URL的请求中并发送。

我希望在SMS转发端点（在我的端点上接收转发的SMS）中添加身份验证，目前正在思考如何实现这一点。 NGINX支持[子请求身份验证]（https://docs.nginx.com/nginx/admin-guide/security-controls/configuring-subrequest-authentication/），该身份验证可用于通过内部服务来评估传入的请求。因此，我的第一个想法是向每个SMS添加凭据（因为我也负责移动设备上代码的SMS发送部分，我可以实现所需的任何内容）并通过NGINX的子请求调用内部服务来检查这些凭据。但是，这似乎是不可行的。根据[this SO question]（https://stackoverflow.com/a/41193758/3991125）使用内部子请求的GET请求，因此任何传入POST请求的正文都将被丢弃。因此，转发的SMS的凭证也不可用于我的内部身份验证服务。编写基于Lua的自定义插件扩展NGINX的身份验证功能是我的第二个想法，但这不仅似乎不可行，而且也不受我正在使用的NGINX实例支持（[Lua模块]（https://docs.nginx.com/nginx/admin-guide/dynamic-modules/lua/）已禁用，转换到[openresty]（https://github .com / openresty / lua-nginx-module＃name）似乎是一件大事)。

我的最后一个想法是将所有传入的请求转发到Python Web服务（用于Flask的编写，我使用的其他服务也用Flask编写）并在Python中解析转发的SMS。根据凭据评估的结果，如果SMS中提供的凭据（它在请求正文中）无效，则可以返回401 /未经授权的状态代码并处理该请求。否则，处理该请求。但是，我认为这种方法非常丑陋，因为所有传入的请求都需要通过Flask，并且无效请求不会被拒绝在我的反向代理级别上。

您有关于如何解决此问题的任何想法？关于“最佳实践”，哪种方法是可考虑的方法？我可以通过扩展NGINX的方式来解决这个问题，还是应该完全放弃NGINX，转向“更好的”代理？