Прокси nginx с CAS

У меня есть JS-приложение, которое отправляет вызовы REST из клиентского браузера в источник данных, который находится за nginx.

Нам необходимо реализовать аутентификацию CAS для приложения, чтобы управлять доступом. Однако я не уверен, как реализовать кусок CAS для nginx. В настоящее время nginx сконфигурирован, главным образом, для обхода CORS, однако это не мешает кому-либо вручную подключаться к этому экземпляру для получения данных.

Моя конечная цель - убедиться, что кто-то не сможет просто подключиться к экземпляру для извлечения данных, если он не использует веб-приложение. У кого-нибудь есть идеи, как это можно сделать?

Идеальным решением было бы заставить nginx каким-либо образом проверить токен CAS на сервере CAS или даже на нашем веб-сервере, чтобы проверить, был ли он проверен ранее.

заранее спасибо

РЕДАКТИРОВАТЬ: Поскольку я делаю больше исследований, кажется возможным с пользовательским сценарием Perl, который может проверить токен CAS с сервером CAS и соответственно принять / отклонить соединение. Кто-нибудь пробовал что-то подобное?