从零开始的Nginx [ 5 ] --- location指令和地址重写:Nginx防盗链,Rewrite相关命令


nginx 实现动静分离

1.负载均衡

权重
加权轮询

2.健康检查

被动探测后端(上游)服务器是否正常工作
做大错误次数, 间隔时间

3.负载均衡算法

nginx:

  • 轮询
  • 一致哈希 ip hash
  • 最少连接数: 看后端服务器当前那个链接最少,就分配给这个最少链接的服务器

4.四层负载均衡

osi 七层模型

stream {
    
    
upstream mysql {
    
    
    server ip:端口;
}
server {
    
    
   listen  3306;
   proxy_pass mysql;

 	}
}

5.七层负载均衡

http {
    
    
upstream myweb1 {
    
    
    server ip:端口;
       }
server {
    
    
   listen  3306;
   location / {
    
    
      proxy_pass myweb1;
      }
   }
}

6.动静分离

http {
    
    
upstream static {
    
    
     server  ip:port;
      }
upstream php {
    
    
     server  ip:port;
      }

upstream py {
    
    
     server ip:port;
      }
server {
    
    
   listen  80;
   #location ~ \.(html|jpg|css|js)$ {
    
    
   location /static/ {
    
    
      proxy_pass http://static;
      }

   location / {
    
    
      fastcgi_pass http://php;  # php 语言开发
      uwsgi_pass http://py;     # python 语言开发
      }
   }
}

Nginx的localtion指令详解和地址重写

一、nginx 防盗链问题

两个网站 A 和 B, B网站引用了A网站上的图片,这种行为就叫做盗链。
防盗链,就是要防止B引用A的图片。

1、nginx 防止网站资源被盗用模块

ngx_http_referer_module

如何区分哪些是不正常的用户?
TTP Referer是Header的一部分,当浏览器向Web服务器发送请求的时候,一般会带上Referer,告诉服务器我是从哪个页面链接过来的,服务器借此可以获得一些信息用于处理,例如防止未经允许的网站盗链图片、文件等。因此HTTP Referer头信息是可以通过程序来伪装生成的,所以通过Referer信息防盗链并非100%可靠,但是,它能够限制大部分的盗链情况.

  • none : 允许没有http_refer的请求访问资源;
  • blocked : 允许不是http://开头的,不带协议的请求访问资源—被防火墙过滤掉的;
  • server_names : 只允许指定ip/域名来的请求访问资源(白名单);
  • 准备两台机器 [ 静态服务器 ] ,一张图片

图片网站服务器: 上传需要的图片 test.jpg

[root@nginx-server ~]# cp test.jpg /usr/share/nginx/html/
[root@nginx-server ~]# cd /etc/nginx/conf.d/
[root@nginx-server conf.d]# cp default.conf default.conf.bak
[root@nginx-server conf.d]# mv default.conf nginx.conf
[root@nginx-server conf.d]# vim nginx.conf
server {
    
    
    listen       80;
    server_name  localhost;
    location / {
    
    
        root   /usr/share/nginx/html;
        index  index.html index.htm;
    }
}
[root@nginx-server conf.d]# nginx -t
[root@nginx-server conf.d]# systemctl restart nginx

浏览器访问

http://图片网站服务器IP/test.jpg

ok

盗链机器服务器:

[root@localhost ~]# cd /usr/share/nginx/html/
[root@localhost html]# cp index.html index.html.bak
[root@localhost html]# vim index.html
<html>

<head>
    <meta charset="utf-8">
    <title>bilibili.com</title>
</head>

<body style="background-color:pink;">
    <img src="http://图片网站服务器/test.jpg"/>
</body>
</html>
[root@nginx-client html]# systemctl restart nginx

在图片服务器操作

[root@localhost nginx]# vim /var/www/nginx/index.html
<html>

<head>
    <meta charset="utf-8">
    <title>bilibili.com</title>
</head>

<body style="background-color:pink;">
    <img src="http://本机IP/test.jpg"/>
</body>
</html>

在图片服务器操作

[root@nginx-server conf.d]# vim nginx.conf
server {
    
    
    listen       80;
    server_name  localhost;
    location / {
    
    
        root   /usr/share/nginx/html;
        index  index.html index.htm;

        valid_referers none blocked www.bilibili.com;  #允许这些访问
                if ($invalid_referer) {
    
    
                   return 403;
                }
        }

}

[root@nginx-server conf.d]# systemctl restart nginx

去浏览器测试访问

http://192.168.116.159/index.html

图裂了 
ok

去一台服务器上
测试直接访问

[root@localhost nginx]# curl -I "http://图片服务器IP/test.jpg"
HTTP/1.1 200 OK
Server: nginx/1.18.0
Date: Thu, 17 Dec 2020 03:46:10 GMT
Content-Type: image/jpeg
Content-Length: 190931
Last-Modified: Thu, 17 Dec 2020 03:02:16 GMT
Connection: keep-alive
ETag: "5fdaca38-2e9d3"
Accept-Ranges: bytes

测试非法http_refer访问

[root@localhost nginx]# curl -e http://www.baidu.com -I "http://图片服务器IP/test.jpg"
HTTP/1.1 403 Forbidden
Server: nginx/1.18.0
Date: Thu, 17 Dec 2020 03:46:43 GMT
Content-Type: text/html
Content-Length: 153
Connection: keep-alive

测试带合法的http_refer

[root@localhost nginx]# curl -e http://www.bilibili.com -I "http://图片服务器IP/test.jpg"
HTTP/1.1 200 OK
Server: nginx/1.18.0
Date: Thu, 17 Dec 2020 03:47:38 GMT
Content-Type: image/jpeg
Content-Length: 190931
Last-Modified: Thu, 17 Dec 2020 03:02:16 GMT
Connection: keep-alive
ETag: "5fdaca38-2e9d3"
Accept-Ranges: bytes

二、Nginx的location指令

1、location 区段

  • location 是在 server 块中配置,根据不同的 URI 使用不同的配置,来处理不同的请求。

  • location 是有顺序的,会被第一个匹配的location 处理,这里的顺序不是写在配置文件中的上下顺序,而是匹配规则顺序(nginx 内部规定的)。

  • 如何工作的

    location 可以由前缀字符串或正则表达式定义。正则表达式由前面的“ ~*”修饰符(不区分大小写的匹配)或“ ~”修饰符(区分大小写的匹配)指定。为了找到与给定请求匹配的位置,nginx首先检查使用前缀字符串定义的位置(前缀位置)。其中,选择并记住具有最长匹配前缀的位置。然后按照在配置文件中出现的顺序检查正则表达式。正则表达式的搜索在第一个匹配项上终止,并使用相应的配置。如果未找到与正则表达式匹配的内容,则使用前面记住的前缀位置的配置。

  • 基本语法如下:
    location [=||*|^~|@] pattern{

    }

2、location 前缀含义

= 表示精确匹配,优先级也是最高的 √
^~ 表示uri以某个常规字符串开头,理解为匹配url路径即可
~ 表示区分大小写的正则匹配 √
~* 表示不区分大小写的正则匹配
!~ 表示区分大小写不匹配的正则
!~* 表示不区分大小写不匹配的正则
/ 通用匹配,任何请求都会匹配到 √
@ 内部服务跳转,用于有名称的路由,比如: location @abc {} √

查找顺序和优先级

= 大于 ^~ 大于 ~|~*|!~|!~* 大于 /
多个location配置的情况下匹配顺序为:首先匹配 =,其次匹配^~, 其次是按正则匹配,最后是交给 / 通用匹配。当有匹配成功时候,停止匹配,按当前匹配规则处理请求。

如果最长匹配前缀位置有 "^~" 修饰符,则不检查正则表达式。

另外,使用“=”修饰符可以定义URI和位置的精确匹配。如果找到完全匹配项,搜索将终止。

3、location 配置示例

1、没有修饰符 表示:必须以指定模式开始

[root@localhost ~]# vim /etc/nginx/conf.d/nginx.conf
server {
    
    
    listen       80;
    server_name  localhost;

    location /abc/ {
    
    
        root   /var/www/nginx;
        index  neko.html;
  }
}

接着在服务的 /var/www/nginx/目录下创建 abc 目录,并在 abc 目录下创建 neko.html

[root@localhost ~]# mkdir -p /var/www/nginx/abc
[root@localhost ~]# echo "bilibili 干杯!!!" > /var/www/nginx/abc/neko.html

访问
[root@localhost ~]# curl 127.0.0.1/abc/neko.html
bilibili 干杯!!!

2、=表示:必须与指定的模式精确匹配

  server {
    
    
      listen       80;
      server_name  localhost;
      access_log  /var/log/nginx/http_access.log  main;

      # 凡是 / 开头的 url 都可以匹配到,但是由于这个优先级最低。
      location / {
    
    
          root /usr/share/nginx/html;
          index a.html index.htm;
      }
      location = / {
    
    
          root /usr/share/nginx/html;
          index b.html index.htm;
      }
  }

测试:

http://192.168.1.9 # 将完全匹配到: =/

http://192.168.1.9/a.html # /a.html 不是 / , 所以只能匹配到 第一个 /

3、~ 表示:指定的正则表达式要区分大小写

server {
    
    
  server_name localhost;
  location ~ /abc/ {
    
    
                  root /home/www/nginx;
                  index 2.html index.html;
          }
  }

测试访问:

http://192.168.1.9/abc/

不正确的

http://192.168.1.9/ABC/

如果将配置文件修改为

location ~ /ABC {
    
    
     root /home/www/nginx;
     index 2.html index.html;
}

在创建目录和文件:

  [root@ansible-server html]# cd /home/www/nginx/
  [root@ansible-server nginx]# mkdir ABC
  [root@ansible-server nginx]# vim ABC/2.html

访问:

http://192.168.1.9/ABC/

结论:~ 需要区分大小写。而且目录需要根据大小写定义。

4、^~ :类似于无修饰符的行为,也是以指定模式开始,不同的是,如果模式匹配,那么就停止搜索其他模式了。

5、@ :定义命名 location 区段,这些区段客户端不能访问,只可以由内部产生的请求来访问,如error_page等

4、location 区段匹配示例

location = / {
    
      /documents/document.html
  # 只匹配 / 的查询.
  # 这里的 / 是针对于 nginx 安装的时候默认的网站根目录,
  # 假如想改变,在 location 配置块外部 写上 root 目录, 
  # 去覆盖原来的目录;
 
  [ configuration A ]
}
location / {
    
          /abc/documents/document.html
  # 匹配任何以 / 开始的查询,但是正则表达式与一些较长的字符串将被优先匹配。
  [ configuration B ]
}
location /abc/{
    
     # 前缀  /abc/documents/document.html
}
location ^~ /images/ {
    
     /abc/documents/document.html
  # 匹配任何以 /images/ 开始的查询并且停止搜索,不检查正则表达式。
  [ configuration C ]
}
http://a.neko.com/images/a.jpg
http://a.neko.com/abc/a.jpg
   # location ~* /abc/.*\.(gif|jpg|jpeg)$ 
location ~* \.(gif|jpg|jpeg)$ {
    
    
  # 匹配任何以gif, jpg, or jpeg结尾的文件 
  [ configuration D ]
} 

各请求的处理如下例:

/ → configuration A
/documents/document.html → configuration B
/images/1.gif → configuration C
/documents/1.jpg → configuration D

5、nginx 地址重写 rewrite

Rewrite对称URL Rewrite,即URL重写,就是把传入Web的请求重定向到其他URL的过程

  • URL Rewrite最常见的应用是URL伪静态化,是将动态页面显示为静态页面方式的一种技术。比如http://www.123.com/news/index.php?id=123&name=neko 使用URLRewrite 转换后可以显示为 http://www.123.com/news/123.html
  • 从安全角度上讲,如果在URL中暴露太多的参数,无疑会造成一定量的信息泄漏,可能会被一些黑客利用,对你的系统造成一定的破坏,所以静态化的URL地址可以给我们带来更高的安全性。
  • 实现网站地址跳转,例如用户访问360buy.com,将其跳转到jd.com。例如当用户访问tianyun.com的
    80端口时,将其跳转到443端口。

三、Rewrite 相关指令

Nginx Rewrite 相关指令有 if、rewrite、set、return

1、if 语句

应用环境
server,location

语法:

if (condition) { … }
if 可以支持如下条件判断匹配符号
~ 正则匹配 (区分大小写)
~* 正则匹配 (不区分大小写)
!~ 正则不匹配 (区分大小写)
!~* 正则不匹配 (不区分大小写)
-f!-f 用来判断是否存在文件
-d!-d 用来判断是否存在目录
-e!-e 用来判断是否存在文件或目录
-x!-x 用来判断文件是否可执行

在匹配过程中可以引用一些Nginx的全局变量

$args 请求中的参数;
$document_root 针对当前请求的根路径设置值;
$host 请求信息中的"Host",如果请求中没有Host行,则等于设置的服务器名;
$limit_rate 对连接速率的限制;
$request_method 请求的方法,比如"GET"、"POST"等;
$remote_addr 客户端地址;
$remote_port 客户端端口号;
$remote_user 客户端用户名,认证用;
$request_filename 当前请求的文件路径名(带网站的主目录/usr/local/nginx/html/images/a.jpg)
$request_uri 当前请求的文件路径名(不带网站的主目录/images/a.jpg)
q u e r y s t r i n g 与 query_string 与 querystringargs相同;
$scheme 用的协议,比如http或者是https
$server_protocol 请求的协议版本,“HTTP/1.0"或"HTTP/1.1”;
$server_addr i服务器地址,如果没有用listen指明服务器地址,使用这个变量将发起一次系统调用以取得地址(造成资源浪费);
$server_name 请求到达的服务器名;
d o c u m e n t u r i 与 document_uri 与 documenturiuri一样,URI地址;
$server_port 请求到达的服务器端口号;

2、Rewrite flag

rewrite 指令根据表达式来重定向URI,或者修改字符串。可以应用于server,location,if环境下每行rewrite指令最后跟一个flag标记,支持的flag标记有:
last 相当于Apache里的[L]标记,表示完成rewrite。默认为last。
break 本条规则匹配完成后,终止匹配,不再匹配后面的规则
redirect 返回302临时重定向,浏览器地址会显示跳转后的URL地址
permanent 返回301永久重定向,浏览器地址会显示跳转后的URL地址

redirect 和 permanent区别则是返回的不同方式的重定向:

​ 对于客户端来说一般状态下是没有区别的。而对于搜索引擎,相对来说301的重定向更加友好,如果我们把一个地址采用301跳转方式跳转的话,搜索引擎会把老地址的相关信息带到新地址,同时在搜索引擎索引库中彻底废弃掉原先的老地址。

​ 使用302重定向时,搜索引擎(特别是google)有时会查看跳转前后哪个网址更直观,然后决定显示哪个,如果它觉的跳转前的URL更好的话,也许地址栏不会更改。

3、Rewrite匹配参考示例

本地解析host文件

例1:

# http://www.testpm.com/a/1.html ==> http://www.testpm.com/b/2.html

    location /a {
    
    
        root    /html;
        index   1.html index.htm;
        rewrite .* /b/2.html permanent ;
        }
    location /b {
    
    
        root    /html;
        index   2.html index.htm;
        }
例2:

# http://www.testpm.com/2019/a/1.html ==> http://www.testpm.com/2018/a/1.html
     location /2019/a {
    
    
        root    /html;
        index   1.html index.hml;
        rewrite ^/2019/(.*)$ /2018/$1 permanent;
        }
     location /2018/a {
    
    
        root    /html;
        index   1.html index.htl;
        }
例3:

# http://www.qf.com/a/1.html ==> https://www.jd.com
location /a {
    
    
        root    /html;
        if ($host ~* www.qf.com ) {
    
    
        rewrite .* https://www.jd.com permanent;
        }
        }
例4:

# http://192.168.122.153/a/1.html ==> http://192.168.122.170/a/1.html

location /a {
    
    
        root /html;
        if ( $host ~* qf.com ){
    
    
        rewrite .* http://192.168.122.170$request_uri permanent;
        }
        }
例5: 在访问目录后添加/  (如果目录后已有/,则不加/)

# http://www.tianyun.com/a/b/c
# $1: /a/b
# $2: c
# http://$host$1$2/
location /a/b/c {
    
    
        root    /usr/share/nginx/html;
        index   index.html index.hml;
        if (-d $request_filename) {
    
    
        # /a/b/ c
        # /a/b/c/
        rewrite ^(.*)([^/])$ http://$host$1$2/ permanent;
        }
        }
例6:

# http://www.tianyun.com/login/tianyun.html ==>  http://www.tianyun.com/reg/login.html?user=tianyun
    location /login {
    
    
        root   /usr/share/nginx/html;
        rewrite ^/login/(.*)\.html$ http://$host/reg/login.html?user=$1;
        {
    
    "user": "tianyun"}
        }
    location /reg {
    
    
        root /usr/share/nginx/html;
        index login.html;    
        }
例7:

#http://www.tianyun.com/qf/11-22-33/1.html  ==>  http://www.tianyun.com/qf/11/22/33/1.html
location /qf {
    
    
            rewrite ^/qf/([0-9]+)-([0-9]+)-([0-9]+)(.*)$ /qf/$1/$2/$3/$4 permanent;
        }
        location /qf/11/22/33 {
    
    
                root /html;
                index   1.html;
        }

4、set 指令

set 指令是用于定义一个变量,并且赋值
应用环境:
server,location,if

应用示例

例8:
#http://alice.testpm.com ==> http://www.testpm.com/alice
#http://jack.testpm.com ==> http://www.testpm.com/jack

[root@nginx-server conf.d]# cd /usr/share/nginx/html/
[root@nginx-server html]# mkdir jack alice
[root@nginx-server html]# echo "jack.." >> jack/index.html
[root@nginx-server html]# echo "alice.." >> alice/index.html

a. DNS实现泛解析
IN A 网站IP
或者本地解析域名host文件

  10.0.105.202 www.testpm.com
  10.0.105.202 alice.testpm.com
  10.0.105.202 jack.testpm.com
  编辑配置文件:
  server {
    
    
  listen       80;
  server_name  www.testpm.com;

  location / {
    
    
       root   /usr/share/nginx/html;
       index  index.html index.htm;
       if ( $host ~* ^www.testpm.com$) {
    
    
              break;
              }
       if ( $host ~* "^(.*)\.testpm\.com$" ) {
    
    
              set $user $1;
              rewrite .* http://www.testpm.com/$user permanent;
              }
      }
  location /jack {
    
    
       root /usr/share/nginx/html;
       index  index.html index.hml;
      }
  location /alice {
    
    
       root /usr/share/nginx/html;
       index index.html index.hml;
      }
  }

5、return 指令

return 指令用于返回状态码给客户端
server,location,if

应用示例:

例9:如果访问的.sh结尾的文件则返回403操作拒绝错误
server {
    
    
  listen       80;
  server_name  www.testpm.cn;
  #access_log  /var/log/nginx/http_access.log  main;

  location / {
    
    
      root   /usr/share/nginx/html;
      index  index.html index.htm;
      }

  location ~* \.sh$ {
    
     # .sh  .Sh  .SH .sH
      return 403;
      }
}
例10:80 ======> 443 :80转443端口

server {
    
    
  listen       80;
  server_name  www.testpm.cn;
  access_log  /var/log/nginx/http_access.log  main;
  return 301 https://www.testpm.cn$request_uri;
}
server {
    
    
  listen 443 ssl;
  server_name www.testpm.cn;
  access_log  /var/log/nginx/https_access.log  main;

  #ssl on;
  ssl_certificate   /etc/nginx/cert/2447549_www.testpm.cn.pem;
  ssl_certificate_key  /etc/nginx/cert/2447549_www.testpm.cn.key;
  ssl_session_timeout 5m;
  ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
  ssl_ciphers  ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
  ssl_prefer_server_ciphers on;

  location / {
    
    
      root  /usr/share/nginx/html;
      index index.html index.htm;
  }
}

[root@nginx-server ~]# curl -I http://www.testpm.cn
HTTP/1.1 301 Moved Permanently
Server: nginx/1.16.0
Date: Wed, 03 Jul 2019 13:52:30 GMT
Content-Type: text/html
Content-Length: 169
Connection: keep-alive
Location: https://www.testpm.cn/

猜你喜欢

转载自blog.csdn.net/Houaki/article/details/111401668