常见使用场景

跨域问题

在工作中,有时候会遇到一些接口不支持跨域,这时候可以简单的添加add_headers来支持cors跨域。配置如下:

  1. server {
  2.   listen 80;
  3.   server_name api.xxx.com;
  5.   add_header 'Access-Control-Allow-Origin' '*';
  6.   add_header 'Access-Control-Allow-Credentials' 'true';
  7.   add_header 'Access-Control-Allow-Methods' 'GET,POST,HEAD';
  9.   location / {
  10.     proxy_pass http://127.0.0.1:3000;
  11.     proxy_set_header X-Real-IP $remote_addr;
  12.     proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
  13.     proxy_set_header Host  $http_host;    
  14.   } 
  15. }

上面更改头信息,还有一种,使用 rewrite 指令重定向URI来解决跨域问题。

  1. upstream test {
  2.   server 127.0.0.1:8080;
  3.   server localhost:8081;
  4. }
  5. server {
  6.   listen 80;
  7.   server_name api.xxx.com;
  8.   location / { 
  9.     root  html;                   #去请求../html文件夹里的文件
  10.     index  index.html index.htm;  #首页响应地址
  11.   }
  12.   # 用于拦截请求,匹配任何以 /api/开头的地址,
  13.   # 匹配符合以后,停止往下搜索正则。
  14.   location ^~/api/{ 
  15.     # 代表重写拦截进来的请求,并且只能对域名后边的除去传递的参数外的字符串起作用,
  16.     # 例如www.a.com/proxy/api/msg?meth=1&par=2重写,只对/proxy/api/msg重写。
  17.     # rewrite后面的参数是一个简单的正则 ^/api/(.*)$,
  18.     # $1代表正则中的第一个(),$2代表第二个()的值,以此类推。
  19.     rewrite ^/api/(.*)$ /$1 break;
  21.     # 把请求代理到其他主机 
  22.     # 其中 http://www.b.com/ 写法和 http://www.b.com写法的区别如下
  23.     # 如果你的请求地址是他 http://server/html/test.jsp
  24.     # 配置一: http://www.b.com/ 后面有“/” 
  25.     #         将反向代理成 http://www.b.com/html/test.jsp 访问
  26.     # 配置一: http://www.b.com 后面没有有“/” 
  27.     #         将反向代理成 http://www.b.com/test.jsp 访问
  28.     proxy_pass http://test;
  30.     # 如果 proxy_pass  URL 是 http://a.xx.com/platform/ 这种情况
  31.     # proxy_cookie_path应该设置成 /platform/ / (注意两个斜杠之间有空格)。
  32.     proxy_cookie_path /platfrom/ /;
  34.     # http://nginx.org/en/docs/http/ngx_http_proxy_module.html#proxy_pass_header
  35.     # 设置 Cookie 头通过
  36.     proxy_pass_header Set-Cookie;
  37.   } 
  38. }

跳转到带www的域上面

  1. server {
  2.     listen 80;
  3.     # 配置正常的带www的域名
  4.     server_name www.wangchujiang.com;
  5.     root /home/www/wabg/download;
  6.     location / {
  7.         try_files $uri $uri/ /index.html =404;
  8.     }
  9. }
  10. server {
  11.     # 这个要放到下面,
  12.     # 将不带www的 wangchujiang.com 永久性重定向到  https://www.wangchujiang.com
  13.     server_name wangchujiang.com;
  14.     rewrite ^(.*) https://www.wangchujiang.com$1 permanent;
  15. }

代理转发

  1. upstream server-api{
  2.     # api 代理服务地址
  3.     server 127.0.0.1:3110;    
  4. }
  5. upstream server-resource{
  6.     # 静态资源 代理服务地址
  7.     server 127.0.0.1:3120;
  8. }
  9. server {
  10.     listen       3111;
  11.     server_name  localhost;      # 这里指定域名
  12.     root /home/www/server-statics;
  13.     # 匹配 api 路由的反向代理到API服务
  14.     location ^~/api/ {
  15.         rewrite ^/(.*)$ /$1 break;
  16.         proxy_pass http://server-api;
  17.     }
  18.     # 假设这里验证码也在API服务中
  19.     location ^~/captcha {
  20.         rewrite ^/(.*)$ /$1 break;
  21.         proxy_pass http://server-api;
  22.     }
  23.     # 假设你的图片资源全部在另外一个服务上面
  24.     location ^~/img/ {
  25.         rewrite ^/(.*)$ /$1 break;
  26.         proxy_pass http://server-resource;
  27.     }
  28.     # 路由在前端,后端没有真实路由,在路由不存在的 404状态的页面返回 /index.html
  29.     # 这个方式使用场景,你在写React或者Vue项目的时候,没有真实路由
  30.     location / {
  31.         try_files $uri $uri/ /index.html =404;
  32.         #                               ^ 空格很重要
  33.     }
  34. }

监控状态信息

通过 nginx -V 来查看是否有 with-http_stub_status_module 该模块。

nginx -V 这里 V 是大写的,如果是小写的 vnginx -v,则不会出现有哪些模块,只会出现 nginx 的版本

  1. location /nginx_status {
  2.     stub_status on;
  3.     access_log off;
  4. }

通过 http://127.0.0.1/nginx_status 访问出现下面结果。

  1. Active connections: 3
  2. server accepts handled requests
  3.  7 7 5 
  4. Reading: 0 Writing: 1 Waiting: 2
  1. 主动连接(第 1 行)

当前与http建立的连接数,包括等待的客户端连接:3

  1. 服务器接受处理的请求(第 2~3 行)

接受的客户端连接总数目:7
处理的客户端连接总数目:7
客户端总的请求数目:5

  1. 读取其它信(第 4 行)

当前,nginx读请求连接
当前,nginx写响应返回给客户端
目前有多少空闲客户端请求连接

代理转发连接替换

  1. location ^~/api/upload {
  2.     rewrite ^/(.*)$ /wfs/v1/upload break;
  3.     proxy_pass http://wfs-api;
  4. }

ssl配置

超文本传输安全协议(缩写:HTTPS,英语:Hypertext Transfer Protocol Secure)是超文本传输协议和SSL/TLS的组合,用以提供加密通讯及对网络服务器身份的鉴定。HTTPS连接经常被用于万维网上的交易支付和企业信息系统中敏感信息的传输。HTTPS不应与在RFC 2660中定义的安全超文本传输协议(S-HTTP)相混。HTTPS 目前已经是所有注重隐私和安全的网站的首选,随着技术的不断发展,HTTPS 网站已不再是大型网站的专利,所有普通的个人站长和博客均可以自己动手搭建一个安全的加密的网站。

创建SSL证书,如果你购买的证书,就可以直接下载

  1. sudo mkdir /etc/nginx/ssl
  2. # 创建了有效期100年,加密强度为RSA2048的SSL密钥key和X509证书文件。
  3. sudo openssl req -x509 -nodes -days 36500 -newkey rsa:2048 -keyout /etc/nginx/ssl/nginx.key -out /etc/nginx/ssl/nginx.crt
  4. # 上面命令,会有下面需要填写内容
  5. Country Name (2 letter code) [AU]:US
  6. State or Province Name (full name) [Some-State]:New York
  7. Locality Name (eg, city) []:New York City
  8. Organization Name (eg, company) [Internet Widgits Pty Ltd]:Bouncy Castles, Inc.
  9. Organizational Unit Name (eg, section) []:Ministry of Water Slides
  10. Common Name (e.g. server FQDN or YOUR name) []:your_domain.com
  11. Email Address []:admin@your_domain.com

创建自签证书

  1. 首先,创建证书和私钥的目录
  2. # mkdir -p /etc/nginx/cert
  3. # cd /etc/nginx/cert
  4. 创建服务器私钥,命令会让你输入一个口令:
  5. # openssl genrsa -des3 -out nginx.key 2048
  6. 创建签名请求的证书(CSR):
  7. # openssl req -new -key nginx.key -out nginx.csr
  8. 在加载SSL支持的Nginx并使用上述私钥时除去必须的口令:
  9. # cp nginx.key nginx.key.org
  10. # openssl rsa -in nginx.key.org -out nginx.key
  11. 最后标记证书使用上述私钥和CSR
  12. # openssl x509 -req -days 365 -in nginx.csr -signkey nginx.key -out nginx.crt

查看目前nginx编译选项

  1. sbin/nginx -V

输出下面内容

  1. nginx version: nginx/1.7.8
  2. built by gcc 4.4.7 20120313 (Red Hat 4.4.7-4) (GCC)
  3. TLS SNI support enabled
  4. configure arguments: --prefix=/usr/local/nginx-1.7.8 --with-http_ssl_module --with-http_spdy_module --with-http_stub_status_module --with-pcre

如果依赖的模块不存在,可以进入安装目录,输入下面命令重新编译安装。

  1. ./configure --prefix=/usr/local/nginx --with-http_stub_status_module --with-http_ssl_module

运行完成之后还需要make (不用make install)

  1. # 备份nginx的二进制文件
  2. cp -rf /usr/local/nginx/sbin/nginx  /usr/local/nginx/sbin/nginx.bak
  3. # 覆盖nginx的二进制文件
  4. cp -rf objs/nginx   /usr/local/nginx/sbin/

HTTPS server

  1. server {
  2.     listen       443 ssl;
  3.     server_name  localhost;
  5.     ssl_certificate /etc/nginx/ssl/nginx.crt;
  6.     ssl_certificate_key /etc/nginx/ssl/nginx.key;
  7.     # 禁止在header中出现服务器版本,防止黑客利用版本漏洞攻击
  8.     server_tokens off;
  9.     # 设置ssl/tls会话缓存的类型和大小。如果设置了这个参数一般是shared,buildin可能会参数内存碎片,默认是none,和off差不多,停用缓存。如shared:SSL:10m表示我所有的nginx工作进程共享ssl会话缓存,官网介绍说1M可以存放约4000个sessions。 
  10.     ssl_session_cache    shared:SSL:1m; 
  12.     # 客户端可以重用会话缓存中ssl参数的过期时间,内网系统默认5分钟太短了,可以设成30m即30分钟甚至4h。
  13.     ssl_session_timeout  5m; 
  15.     # 选择加密套件,不同的浏览器所支持的套件(和顺序)可能会不同。
  16.     # 这里指定的是OpenSSL库能够识别的写法,你可以通过 openssl -v cipher 'RC4:HIGH:!aNULL:!MD5'(后面是你所指定的套件加密算法) 来看所支持算法。
  17.     ssl_ciphers  HIGH:!aNULL:!MD5;
  19.     # 设置协商加密算法时,优先使用我们服务端的加密套件,而不是客户端浏览器的加密套件。
  20.     ssl_prefer_server_ciphers  on;
  22.     location / {
  23.         root   html;
  24.         index  index.html index.htm;
  25.     }
  26. }

强制将http重定向到https

  1. server {
  2.     listen       80;
  3.     server_name  example.com;
  4.     rewrite ^ https://$http_host$request_uri? permanent;    # 强制将http重定向到https
  5.     # 在错误页面和“服务器”响应头字段中启用或禁用发射nginx版本。 防止黑客利用版本漏洞攻击
  6.     server_tokens off;
  7. }

两个虚拟主机

纯静态-html 支持

  1. http {
  2.     server {
  3.         listen          80;
  4.         server_name     www.domain1.com;
  5.         access_log      logs/domain1.access.log main;
  6.         location / {
  7.             index index.html;
  8.             root  /var/www/domain1.com/htdocs;
  9.         }
  10.     }
  11.     server {
  12.         listen          80;
  13.         server_name     www.domain2.com;
  14.         access_log      logs/domain2.access.log main;
  15.         location / {
  16.             index index.html;
  17.             root  /var/www/domain2.com/htdocs;
  18.         }
  19.     }
  20. }

虚拟主机标准配置

  1. http {
  2.   server {
  3.     listen          80 default;
  4.     server_name     _ *;
  5.     access_log      logs/default.access.log main;
  6.     location / {
  7.        index index.html;
  8.        root  /var/www/default/htdocs;
  9.     }
  10.   }
  11. }

爬虫过滤

根据 User-Agent 过滤请求,通过一个简单的正则表达式,就可以过滤不符合要求的爬虫请求(初级爬虫)。

~* 表示不区分大小写的正则匹配

  1. location / {
  2.     if ($http_user_agent ~* "python|curl|java|wget|httpclient|okhttp") {
  3.         return 503;
  4.     }
  5.     # 正常处理
  6.     # ...
  7. }

防盗链

  1. location ~* \.(gif|jpg|png|swf|flv)$ {
  2.    root html
  3.    valid_referers none blocked *.nginxcn.com;
  4.    if ($invalid_referer) {
  5.      rewrite ^/ www.nginx.cn
  6.      #return 404;
  7.    }
  8. }

虚拟目录配置

alias指定的目录是准确的,root是指定目录的上级目录,并且该上级目录要含有location指定名称的同名目录。

  1. location /img/ {
  2.     alias /var/www/image/;
  3. }
  4. # 访问/img/目录里面的文件时,ningx会自动去/var/www/image/目录找文件
  5. location /img/ {
  6.     root /var/www/image;
  7. }
  8. # 访问/img/目录下的文件时,nginx会去/var/www/image/img/目录下找文件。]

防盗图配置

  1. location ~ \/public\/(css|js|img)\/.*\.(js|css|gif|jpg|jpeg|png|bmp|swf) {
  2.     valid_referers none blocked *.jslite.io;
  3.     if ($invalid_referer) {
  4.         rewrite ^/  http://wangchujiang.com/piratesp.png;
  5.     }
  6. }

屏蔽.git等文件

  1. location ~ (.git|.gitattributes|.gitignore|.svn) {
  2.     deny all;
  3. }

域名路径加不加需要都能正常访问

  1. http://wangchujiang.com/api/index.php?a=1&name=wcj
  2.                                   ^ 有后缀
  4. http://wangchujiang.com/api/index?a=1&name=wcj
  5.                                  ^ 没有后缀

nginx rewrite规则如下:

  1. rewrite ^/(.*)/$ /index.php?/$1 permanent;
  2. if (!-d $request_filename){
  3.         set $rule_1 1$rule_1;
  4. }
  5. if (!-f $request_filename){
  6.         set $rule_1 2$rule_1;
  7. }
  8. if ($rule_1 = "21"){
  9.         rewrite ^/ /index.php last;
  10. }