5 权限管理

5.1 简单权限控制

有时候我们的服务器只允许特定主机访问,比如内部OA系统,或者应用的管理后台系统,更或者是某些应用接口,这时候我们就需要控制一些IP访问,我们可以直接在location里进行配置。
可以直接在default.conf里进行配置。

1
2
3
4
location / {
   deny   123.9.51.42;
   allow  45.76.202.231;
}

5.2 复杂访问控制权限匹配

在工作中,访问权限的控制需求更加复杂,例如,对于网站下的img(图片目录)是运行所有用户访问,但对于网站下的admin目录则只允许公司内部固定IP访问。这时候仅靠deny和allow这两个指令,是无法实现的。我们需要location块来完成相关的需求匹配。
上面的需求,配置代码如下:

1
2
3
4
5
6
location =/img{
   allow all;
   }
location =/admin{
   deny all;
}

=号代表精确匹配,使用了=后是根据其后的模式进行精确匹配。这个直接关系到我们网站的安全。

5.3 使用正则表达式设置访问权限

只有精确匹配有时是完不成我们的工作任务的,比如现在我们要禁止访问所有php的页面,php的页面大多是后台的管理或者接口代码,所以为了安全我们经常要禁止所有用户访问,而只开放公司内部访问的。
代码如下:

1
2
3
location ~\.php$ {
   deny all;
}

6 Nginx设置虚拟主机

6.1基于端口号配置虚拟主机

基于端口号来配置虚拟主机,算是Nginx中最简单的一种方式了。原理就是Nginx监听多个端口,根据不同的端口号,来区分不同的网站。
我们可以直接配置在主文件里etc/nginx/nginx.conf文件里, 也可以配置在子配置文件里etc/nginx/conf.d/default.conf。我这里为了配置方便,就配置在子文件里了。当然你也可以再新建一个文件,只要在conf.d文件夹下就可以了。
添加配置文件中的server选项,这时候就会有两个server。

1
2
3
4
5
6
server{
	 listen 8001;
	 server_name localhost;
	 root /usr/share/nginx/html/html8001;
	 index index.html;
	}

编在usr/share/nginx/html/html8001/目录下的index.html文件并查看结果。

1
<h1>welcome port 8001</h1>

最后在浏览器中分别访问地址和带端口的地址。看到的结果是不同的。
然后我们就可以在浏览器中访问http://112.74.164.244:8001了。

6.2基于IP的虚拟主机

基于IP和基于端口的配置几乎一样,只是把server_name选项,配置成IP就可以了。
比如上面的配置,我们可以修改为:

1
2
3
4
5
6
server{
	 listen 80;
	 server_name 112.74.164.244;
	 root /usr/share/nginx/html/html8001;
	 index index.html;
	}

7 Nginx使用域名

这里我购买的是腾讯云,所以根据提示直接在腾讯云上进行配置
如图所示
如图所示
按照提示填写即可
修改配置即可

1
2
3
4
5
6
server{
	 listen 80;
	 server_name www.linjiad.cn;
	 root /usr/share/nginx/html/html8001;
	 index index.html;
	}

如图所示

8Nginx反向代理

8.1正向代理和反向代理

大家都知道,我们现在的web模式基本的都是标准的CS结构,即Client端到Server端。那代理就是在Client端和Server端之间增加一个提供特定功能的服务器,这个服务器就是我们说的代理服务器。
正向代理:如果你觉的反向代理不好理解,那先来了解一下正向代理。我相信作为一个手速远超正常人的程序员来说,你一定用过翻墙工具(我这里说的不是物理梯子),它就是一个典型的正向代理工具。它会把我们不让访问的服务器的网页请求,代理到一个可以访问该网站的代理服务器上来,一般叫做proxy服务器,再转发给客户。
如图所示
简单来说就是你想访问目标服务器的权限,但是没有权限。这时候代理服务器有权限访问服务器,并且你有访问代理服务器的权限,这时候你就可以通过访问代理服务器,代理服务器访问真实服务器,把内容给你呈现出来。

反向代理:反向代理跟代理正好相反(需要说明的是,现在基本所有的大型网站的页面都是用了反向代理),客户端发送的请求,想要访问server服务器上的内容。发送的内容被发送到代理服务器上,这个代理服务器再把请求发送到自己设置好的内部服务器上,而用户真实想获得的内容就在这些设置好的服务器上。
如图所示
反向代理的用途和好处:

  • 安全性:正向代理的客户端能够在隐藏自身信息的同时访问任意网站,这个给网络安全代理了极大的威胁。因此,我们必须把服务器保护起来,使用反向代理客户端用户只能通过外来网来访问代理服务器,并且用户并不知道自己访问的真实服务器是那一台,可以很好的提供安全保护。
  • 功能性:反向代理的主要用途是为多个服务器提供负债均衡、缓存等功能。负载均衡就是一个网站的内容被部署在若干服务器上,可以把这些机子看成一个集群,那Nginx可以将接收到的客户端请求“均匀地”分配到这个集群中所有的服务器上,从而实现服务器压力的平均分配,也叫负载均衡

    8.2最简单的反向代理

    现在我们要访问http://www.linjiad.cn:8002/然后反向代理到http://www.linjiad.cn这个网站。我们直接到etc/nginx/con.d/8001.conf进行修改。
    添加个配置文件如下:
    1
    2
    3
    4
    5
    6
    7
    server{
       listen 8002;
       server_name localhost;
       location / {
           proxy_pass http://www.linjiad.cn;
        }
    }

一般我们反向代理的都是一个IP,但是我这里代理了一个域名也是可以的。其实这时候我们反向代理就算成功了,我们可以在浏览器中打开

8.3其它反向代理指令

反向代理还有些常用的指令,我在这里给大家列出:

  • proxy_set_header :在将客户端请求发送给后端服务器之前,更改来自客户端的请求头信息。
  • proxy_connect_timeout:配置Nginx与后端代理服务器尝试建立连接的超时时间。
  • proxy_read_timeout : 配置Nginx向后端服务器组发出read请求后,等待相应的超时时间。
  • proxy_send_timeout:配置Nginx向后端服务器组发出write请求后,等待相应的超时时间。
  • proxy_redirect :用于修改后端服务器返回的响应头中的Location和Refresh。

    9Nginx适配PC或移动设备

    现在很多网站都是有了PC端和H5站点的,因为这样就可以根据客户设备的不同,显示出体验更好的,不同的页面了。
    $http_user_agent的使用:
    Nginx通过内置变量$http_user_agent,可以获取到请求客户端的userAgent,就可以用户目前处于移动端还是PC端,进而展示不同的页面给用户。
    操作步骤如下:
  1. 在/usr/share/nginx/目录下新建两个文件夹,分别为:pc和mobile目录
  2. 输入命令如下

    cd /usr/share/nginx
    mkdir pc
    mkdir mobile

  3. 在pc和miblic目录下,新建两个index.html文件,文件里下面内容

    1
    2
    <h1>I am pc!</h1>
    <h1>I am mobile!</h1>

  4. 进入etc/nginx/conf.d目录下,修改8001.conf文件,改为下面的形式:

    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    server{
         listen 80;
         server_name nginx2.jspang.com;
         location / {
          root /usr/share/nginx/pc;
          if ($http_user_agent ~* '(Android|webOS|iPhone|iPod|BlackBerry)') {
             root /usr/share/nginx/mobile;
          }
          index index.html;
         }
    }

10Nginx的Gzip压缩配置

10.1Gzip技术

Gzip是网页的一种网页压缩技术,经过gzip压缩后,页面大小可以变为原来的30%甚至更小。更小的网页会让用户浏览的体验更好,速度更快。gzip网页压缩的实现需要浏览器和服务器的支持
如图所示
从上图可以清楚的明白,gzip是需要服务器和浏览器同事支持的。当浏览器支持gzip压缩时,会在请求消息中包含Accept-Encoding:gzip,这样Nginx就会向浏览器发送听过gzip后的内容,同时在相应信息头中加入Content-Encoding:gzip,声明这是gzip后的内容,告知浏览器要先解压后才能解析输出。

10.2gzip的配置项

Nginx提供了专门的gzip模块,并且模块中的指令非常丰富。

  • gzip : 该指令用于开启或 关闭gzip模块。
  • gzip_buffers : 设置系统获取几个单位的缓存用于存储gzip的压缩结果数据流。
  • gzip_comp_level : gzip压缩比,压缩级别是1-9,1的压缩级别最低,9的压缩级别最高。压缩级别越高压缩率越大,压缩时间越长。
  • gzip_disable : 可以通过该指令对一些特定的User-Agent不使用压缩功能。
  • gzip_min_length:设置允许压缩的页面最小字节数,页面字节数从相应消息头的Content-length中进行获取。
  • gzip_http_version:识别HTTP协议版本,其值可以是1.1.或1.0.
  • gzip_proxied : 用于设置启用或禁用从代理服务器上收到相应内容gzip压缩。
  • gzip_vary : 用于在响应消息头中添加Vary:Accept-Encoding,使代理服务器根据请求头中的Accept-Encoding识别是否启用gzip压缩。

    10.3gzip最简单的配置

    1
    2
    3
    4
    5
    6
    http {
       .....
        gzip on;
        gzip_types text/plain application/javascript text/css;
       .....
    }

gzip on是启用gizp模块,下面的一行是用于在客户端访问网页时,对文本、JavaScript 和CSS文件进行压缩输出。
配置好后,我们就可以重启Nginx服务,让我们的gizp生效了。
如果你是windows操作系统,你可以按F12键打开开发者工具,单机当前的请求,在标签中选择Headers,查看HTTP响应头信息。你可以清楚的看见Content-Encoding为gzip类型。

最后更新: 2018年11月25日 17:24

原始链接: http://linjiad.github.io/2018/11/11/Nginx服务2/

× 请我吃糖~
打赏二维码