Nginx学习笔记(四):rewrite、代理和安全
学习资源:
- 黑马程序员Nginx教程
参考了其对应的学习资料,并进行重排、总结和补充。- Nginx中文文档
rewrite
主要作用是用来实现URL的重写
相关命令
set
| 语法 | set $variable value; |
|---|---|
| 默认值 | — |
| 位置 | server、location、if |
| 作用 | 用来设置一个新的变量 |
set $name "TOM";
不能与Nginx预设的全局变量同名:
| 变量 | 说明 |
|---|---|
| $args | 变量中存放了请求URL中的请求参数 功能和$query_string一样 |
| $http_user_agent | 变量存储的是用户访问服务的代理信息(如果通过浏览器访问,记录的是浏览器的相关版本信息) |
| $host | 变量存储的是访问服务器的server_name值 |
| $document_uri | 变量存储的是当前访问地址的URI 比如http://192.168.200.133/server?id=10&name=zhangsan中的"/server" 功能和$uri一样 |
| $document_root | 变量存储的是当前请求对应location的root值,如果未设置,默认指向Nginx自带html目录所在位置 |
| $content_length | 变量存储的是请求头中的Content-Length的值 |
| $content_type | 变量存储的是请求头中的Content-Type的值 |
| $http_cookie | 变量存储的是客户端的cookie信息,可以通过add_header Set-Cookie 'cookieName=cookieValue'来添加cookie数据 |
| $limit_rate | 变量中存储的是Nginx服务器对网络连接速率的限制,也就是Nginx配置中对limit_rate指令设置的值,默认是0,不限制。 |
| $remote_addr | 变量中存储的是客户端的IP地址 |
| $remote_port | 变量中存储了客户端与服务端建立连接的端口号 |
| $remote_user | 变量中存储了客户端的用户名,需要有认证模块才能获取 |
| $scheme | 变量中存储了访问协议 |
| $server_addr | 变量中存储了服务端的地址 |
| $server_name | 变量中存储了客户端请求到达的服务器的名称 |
| $server_port | 变量中存储了客户端请求到达服务器的端口号 |
| $server_protocol | 变量中存储了客户端请求协议的版本,比如"HTTP/1.1" |
| $request_body_file | 变量中存储了发给后端服务器的本地文件资源的名称 |
| $request_method | 变量中存储了客户端的请求方式,比如"GET","POST"等 |
| $request_filename | 变量中存储了当前请求的资源文件的路径名 |
| $request_uri | 变量中存储了当前请求的URI,并且携带请求参数,比如http://192.168.200.133/server?id=10&name=zhangsan中的"/server?id=10&name=zhangsan" |
if
| 语法 | if (condition) |
|---|---|
| 默认值 | — |
| 位置 | server、location |
| 作用 | 用来支持条件判断,并根据条件判断结果选择不同的Nginx配置 |
案例:
# 如果变量名对应的值为空字符串或"0",if都判断为false,其他条件为true
if ($param){
}
# 使用"="和"!="比较变量和字符串是否相等
# POST不用加引号
if ($request_method = POST){
return 405;
}
# 使用正则表达式对变量进行匹配
# "~" 代表匹配正则表达式过程中区分大小写
# "~\*"代表匹配正则表达式过程中不区分大小写
# "!~"和"!~\*" 刚好和上面取相反值
# 一般不需要加引号,但是如果字符串中包含"}"或者是";"等字符时,就需要把引号加上
if ($http_user_agent ~ MSIE){
#$http_user_agent的值中是否包含MSIE字符串,如果包含返回true
}
# 判断请求的文件是否存在使用"-f"和"!-f"
if (-f $request_filename){
#判断请求的文件是否存在
}
if (!-f $request_filename){
#判断请求的文件是否不存在
}
# 判断请求的目录是否存在使用"-d"和"!-d"
# 判断请求的目录或者文件是否存在使用"-e"和"!-e"
# 判断请求的文件是否可执行使用"-x"和"!-x"
break指令
| 语法 | break; |
|---|---|
| 默认值 | — |
| 位置 | server、location、if |
| 作用 | 中断当前相同作用域中的其他Nginx配置 同时终止当前的匹配并把当前的URI在本location进行重定向访问处理 |
例子:
location /testbreak{
default_type text/plain;
set $username TOM;
if ($args){
set $username JERRY;
break;
set $username ROSE;
}
add_header username $username;
return 200 $username;
}
- 如果访问URL为
http://localhost/testbreak,则不会触发break,返回一个200页面,这个好理解 - 如果访问携带参数,如URL为
http://localhost/testbreak&1,则会资源重定向找到/html/testbreak/index.html(如果没有指定root的话), 如果找不到就404报错。
return指令
| 语法 | return code [text]; return code URL; return URL; |
|---|---|
| 默认值 | — |
| 位置 | server、location、if |
| 作用 | 完成对请求的处理,直接向客户端返回 |
code: 为返回给客户端的HTTP状态代理。可以返回的状态代码为0~999的任意HTTP状态代理
text: 为返回给客户端的响应体内容,支持变量的使用
URL: 为返回给客户端的URL地址
location /testreturn {
return 200 success;
}
location /testreturn {
return https://www.baidu.com; # 302重定向到百度
}
location /testreturn {
return 302 https://www.baidu.com;
}
location /testreturn {
return 302 www.baidu.com; # 不允许这么写,这是域名
}
rewrite指令
| 语法 | rewrite regex replacement [flag]; |
|---|---|
| 默认值 | — |
| 位置 | server、location、if |
| 作用 | 通过正则表达式的使用来改变URI |
| 说明 | 可以同时存在一个或者多个指令,按照顺序依次对URL进行匹配和处理 |
regex: 用来匹配URI的正则表达式
replacement: 匹配成功后,用于替换URI中被截取内容的字符串。如果该字符串是以"http://"或者"https://"开头的,则不会继续向下对URI进行其他处理,而是直接返回重写后的URI给客户端。
location rewrite {
rewrite ^/rewrite/url\w*$ https://www.baidu.com;
rewrite ^/rewrite/(test)\w*$ /$1;
rewrite ^/rewrite/(demo)\w*$ /$1;
}
location /test {
default_type text/plain;
return 200 test_success;
}
location /demo {
default_type text/plain;
return 200 demo_success;
}
flag: 用来设置rewrite对URI的处理行为,可选值有如下:
last结束在本块的执行,然后根据URL重新选择location块进行处理break修改URL,然后继续在本块执行redirect返回302,会修改用户看到的URLpermanent返回301,会修改用户看到的URL
rewrite_log指令
| 语法 | rewrite_log on|off; |
|---|---|
| 默认值 | rewrite_log off; |
| 位置 | http、server、location、if |
| 作用 | 配置是否开启URL重写日志的输出功能 |
开启后,URL重写的相关日志将以notice级别输出到error_log指令配置的日志文件汇总。
rewrite_log on;
error_log logs/error.log notice;
使用案例
域名跳转
通过Rewrite完成将www.ithema.com和www.itheima.cn的请求跳转到www.itcast.com
server {
listen 80;
server_name www.itheima.com www.itheima.cn;
rewrite ^/ http://www.itcast.cn;
}
如何在域名跳转的过程中携带请求的URI:
server {
listen 80;
server_name www.itheima.com www.itheima.cn;
rewrite ^(.*) http://www.itcast.cn$1;
}
域名镜像
镜像网站指定是将一个完全相同的网站分别放置到几台服务器上,并分别使用独立的URL进行访问。其中一台服务器上的网站叫主站,其他的为镜像网站。镜像网站和主站没有太大的区别,可以把镜像网站理解为主站的一个备份节点。可以通过镜像网站提供网站在不同地区的响应速度。镜像网站可以平衡网站的流量负载、可以解决网络宽带限制、封锁等。
server {
listen 80;
server_name www.itheima.cn;
location /user {
rewrite ^/user(.*)$ http://www.itcast.cn$1;
}
location /emp{
default_type text/html;
return 200 '<h1>emp_success</h1>';
}
}
独立域名
http://search.itcast.com:81 访问商品搜索模块
http://item.itcast.com:82 访问商品详情模块
http://cart.itcast.com:83 访问商品购物车模块
server{
listen 81;
server_name search.itcast.com;
rewrite ^(.*) http://www.itcast.cn/search$1;
}
server{
listen 82;
server_name item.itcast.com;
rewrite ^(.*) http://www.itcast.cn/item$1;
}
server{
listen 83;
server_name cart.itcast.com;
rewrite ^(.*) http://www.itcast.cn/cart$1;
}
目录自动添加"/"
主要是修改 0.8.48 版本前 server_name_in_redirect 指令的一个 BUG使用的。
合并目录
搜索引擎优化(SEO)是一种利用搜索引擎的搜索规则来提高目的网站在有关搜索引擎内排名的方式。我们在创建自己的站点时,可以通过很多中方式来有效的提供搜索引擎优化的程度。其中有一项就包含URL的目录层级一般不要超过三层,否则的话不利于搜索引擎的搜索也给客户端的输入带来了负担,但是将所有的文件放在一个目录下又会导致文件资源管理混乱并且访问文件的速度也会随着文件增多而慢下来,这两个问题是相互矛盾的,那么使用rewrite如何解决上述问题?
举例,网站中有一个资源文件的访问路径时 /server/11/22/33/44/20.html,也就是说20.html存在于第5级目录下,如果想要访问该资源文件,客户端的URL地址就要写成 http://192.168.200.133/server/11/22/33/44/20.html, 但是这个是非常不利于SEO搜索引擎优化的,同时客户端也不好记.使用rewrite我们可以进行如下配置:
server {
listen 8083;
server_name localhost;
location /server{
rewrite ^/server-([0-9]+)-([0-9]+)-([0-9]+)-([0-9]+)\.html$ /server/$1/$2/$3/$4/$5.html last;
}
}
这样的花,客户端只需要输入http://www.web.name/server-11-22-33-44-20.html就可以访问到20.html页面了。
防盗链
location /images {
root html;
valid_referers none blocked www.baidu.com;
if ($invalid_referer){
#return 403;
rewrite ^/ /images/forbidden.png break;
}
}
代理
Nginx既支持正向代理,又支持反向代理。
正向代理
Nginx的正向代理使用的不多。
正向代理就是让代理去帮你访问某个网站,从而不留下直接的痕迹(比如电影里的黑客)
对 Nginx 修改配置文件如下:
server {
listen 82;
resolver 8.8.8.8;
location /{
proxy_pass http://$host$request_uri;
}
}
然后让电脑用上代理,windows 的配置方法如下:
此时你发起的请求就将由 Nginx 代你发起。
反向代理
Nginx反向代理模块的指令是由 ngx_http_proxy_module 模块进行解析,该模块在安装Nginx的时候已经自己加装到Nginx中了,反向代理的常用设置如下:
- proxy_pass
- proxy_set_header
- proxy_redirect
proxy_pass
| 语法 | proxy_pass URL; |
|---|---|
| 默认值 | — |
| 位置 | location |
| 作用 | 设置被代理服务器地址 |
| 说明 | 包含传输协议(http,https://)、主机名称或IP地址加端口号、URI等要素 |
举例:
location /server{
proxy_pass http://baidu.com;
}
location /server{
proxy_pass http://192.168.1.1:22;
}
如此一来,假如你把这个值设为其他的网站,就可以实现一个奇妙的效果,比如:
所以说,
HTTPS确实是有必要的,我们的确需要一种机制来防止别人伪造我们的网站地址(所以说左上角会有不安全的标志)
在编写
proxy_pass的时候,后面的值要不要加"/"?案例一:
server { listen 80; server_name localhost; location /{ #proxy_pass http://192.168.200.146; proxy_pass http://192.168.200.146/; } } # 当客户端访问 http://localhost/index.html,效果是一样的案例二:
server{ listen 80; server_name localhost; location /server { #proxy_pass http://192.168.200.146; proxy_pass http://192.168.200.146/; } } # 当客户端访问 http://localhost/server/index.html # 第一个proxy_pass就变成了http://localhost/server/index.html # 第二个proxy_pass就变成了http://localhost/index.html
proxy_set_header
| 语法 | proxy_set_header field value; |
|---|---|
| 默认值 | proxy_set_header Host $proxy_host; proxy_set_header Connection close; |
| 位置 | http、server、location |
| 作用 | 可以更改Nginx服务器发起的请求的头信息 |
| 说明 | Nginx发送的请求本身不携带原来请求的一些信息,所以如果想要用,必须自己设置 |
被代理服务器: [192.168.200.146]
server {
listen 8080;
server_name localhost;
default_type text/plain;
return 200 $http_username;
}
代理服务器: [192.168.200.133]
server {
listen 8080;
server_name localhost;
location /server {
proxy_pass http://192.168.200.146:8080/;
proxy_set_header username TOM;
}
}
proxy_redirect
| 语法 | proxy_redirect redirect replacement; proxy_redirect default; proxy_redirect off; |
|---|---|
| 默认值 | proxy_redirect default; |
| 位置 | http、server、location |
| 作用 | 当上游服务器返回的响应是重定向或刷新请求(如HTTP响应码是301或者302)时,proxy_redirect可以重设HTTP头部的location或refresh字段 |
案例:(说明作用)
服务端[192.168.200.146]
server { listen 8081; server_name localhost; if (!-f $request_filename){ return 302 http://192.168.200.146; # 如果找不到资源,会引发重定向 } }代理服务端[192.168.200.133]
server { listen 8081; server_name localhost; location / { proxy_pass http://192.168.200.146:8081/; # 将重定向的URL替换成代理服务器的URL # 这样不会暴露服务器的真实地址 proxy_redirect http://192.168.200.146 http://192.168.200.133; } }
几种形式:
proxy_redirect redirect replacement;
redirect:目标,Location的值
replacement:要替换的值
proxy_redirect default;
default;
将location块的uri变量作为replacement,
将proxy_pass变量作为redirect进行替换
proxy_redirect off;
关闭proxy_redirect的功能
代理优化
Buffer: 缓冲:主要用来解决不同设备之间数据传递速度不一致导致的性能低的问题,缓冲中的数据一旦此次操作完成后,就可以删除Cache: 缓存:将被代理服务器的数据缓存一份到代理服务器,客户端再次获取相同数据的时候,就只需要从代理服务器上获取,效率较高,缓存中的数据可以重复使用,只有满足特定条件才会删除
proxy_buffering
| 语法 | proxy_buffering on|off; |
|---|---|
| 默认值 | proxy_buffering on; |
| 位置 | http、server、location |
| 作用 | 开启或者关闭代理服务器的缓冲区 |
proxy_buffers
| 语法 | proxy_buffers number size; |
|---|---|
| 默认值 | proxy_buffers 8 4k | 8K;(与系统平台有关) |
| 位置 | http、server、location |
| 作用 | 指定单个连接从代理服务器读取响应的缓存区的个数和大小 |
proxy_buffer_size
| 语法 | proxy_buffer_size size; |
|---|---|
| 默认值 | proxy_buffer_size 4k | 8k;(与系统平台有关) |
| 位置 | http、server、location |
| 作用 | 用来设置从被代理服务器获取的第一部分响应数据的大小。保持与proxy_buffers中的size一致即可,当然也可以更小 |
proxy_busy_buffers_size
| 语法 | proxy_busy_buffers_size size; |
|---|---|
| 默认值 | proxy_busy_buffers_size 8k|16K; |
| 位置 | http、server、location |
| 作用 | 限制同时处于BUSY状态的缓冲总大小 |
proxy_temp_path
| 语法 | proxy_temp_path path; |
|---|---|
| 默认值 | proxy_temp_path proxy_temp; |
| 位置 | http、server、location |
| 作用 | 当缓冲区存满后,仍未被Nginx服务器完全接受,响应数据就会被临时存放在磁盘文件上,该指令设置文件路径 |
| 说明 | 注意path最多设置三层 |
proxy_temp_file_write_size
| 语法 | proxy_temp_file_write_size size; |
|---|---|
| 默认值 | proxy_temp_file_write_size 8K|16K; |
| 位置 | http、server、location |
| 作用 | 该指令用来设置磁盘上缓冲文件的大小 |
通用网站配置
proxy_buffering on;
proxy_buffer_size 4 32k;
proxy_busy_buffers_size 64k;
proxy_temp_file_write_size 64k;
安全控制
安全隔离
通过反向代理隐藏真实的服务器IP,这个好理解。
HTTPS与SSL
这个如果对SSL有了解会更清晰!(不然有些看不懂)
HTTPS = HTTP + SSL
HTTP是明文传输的,利用SSL/TLS建立全通信,加密数据包,确保数据的安全性。
SSL: Secure Sockets Layer 安全套接层TLS: Transport Layer Security 传输层安全
Nginx要想使用SSL,需要要添加一个模块 --with-http_ssl_module ,而该模块在编译的过程中又需要OpenSSL的支持,这个我们之前已经准备好了。
使用步骤:
-
申请一个SSL证书(可以腾讯云、阿里云)
-
添加模块(
./configure --with-http_ssl_module) -
修改配置文件
ssl
| 语法 | ssl on | off; |
|---|---|
| 默认值 | ssl off; |
| 位置 | http、server |
| 作用 | 是否开启SSL |
如下方式更常用:
server{
listen 443 ssl;
}
ssl_certificate
| 语法 | ssl_certificate file; |
|---|---|
| 默认值 | — |
| 位置 | http、server |
| 作用 | 为当前这个虚拟主机指定一个带有PEM格式证书的证书 |
ssl_certificate_key
| 语法 | ssl_ceritificate_key file; |
|---|---|
| 默认值 | — |
| 位置 | http、server |
| 作用 | 用来指定PEM secret key文件的路径 |
ssl_session_cache
| 语法 | ssl_sesion_cache off|none|[builtin[:size]] [shared:name:size] |
|---|---|
| 默认值 | ssl_session_cache none; |
| 位置 | http、server |
| 作用 | 用来配置用于SSL会话的缓存 |
- off:禁用会话缓存,客户端不得重复使用会话
- none:禁止使用会话缓存,客户端可以重复使用,但是并没有在缓存中存储会话参数
- builtin:内置OpenSSL缓存,仅在一个工作进程中使用。
- shared:所有工作进程之间共享缓存,缓存的相关信息用name和size来指定
ssl_session_timeout
| 语法 | ssl_session_timeout time; |
|---|---|
| 默认值 | ssl_session_timeout 5m; |
| 位置 | http、server |
| 作用 | 开启SSL会话功能后,设置客户端能够反复使用储存在缓存中的会话参数时间 |
ssl_ciphers
| 语法 | ssl_ciphers ciphers; |
|---|---|
| 默认值 | ssl_ciphers HIGH:!aNULL:!MD5; |
| 位置 | http、server |
| 作用 | 指出允许的密码,密码指定为OpenSSL支持的格式 |
可以使用openssl ciphers查看openssl支持的格式
ssl_prefer_server_ciphers
| 语法 | ssl_perfer_server_ciphers on|off; |
|---|---|
| 默认值 | ssl_perfer_server_ciphers off; |
| 位置 | http、server |
| 作用 | 指定是否服务器密码优先客户端密码 |
评论区