nginx复杂跳转与https

📅 发布时间:2026/7/8 20:31:25 👁️ 浏览次数:
nginx复杂跳转与https
1. ✅nginx复杂跳转客户端ip不是内网(172.16/192.168)ip时维护文件存在时返回503或者错误页面1.1. 修改配置文件server { listen 80; server_name re.linux.cn; root /app/code/re/; set $flag 0; if ( $remote_addr !~* ^172.16|^192.168 ) { set $flag 1; } if ( -f /etc/nginx/weihu.txt ) { set $flag ${flag}1; } if ( $flag 11 ) { return 503; #return 302 http://re.oldboy.cn/error.html; } if ( $request_method !~* GET|POST|HEAD ) { return 405; } location / { index index.html; } }1.2. 创建维护文件touch /etc/nginx/weihu.txt1.3. 重启服务nginx -t systemctl reload nginx1.4. 使用10网段访问2. ✅nginx中的case语句map类似shell中的case语句问题配置nginx负载均衡监控检查功能check后端web节点会产生大量的检查日志访问日志解决web服务器上配置根据不同的UA进行判断如果UA是lb_check则不记录访问日志如果UA是其他的则记录访问日志map做判断,access_log有个if选项access_log /var/log/nginx/lb_access.log main if0或1; 0不记录2.1. map用法map $源变量 $目标变量 { default 值; 条件1 值1; 条件2 值2; ... }map 必须写在 http 块中。$源变量 可以是任何内置变量或之前定义的变量如 $host, $http_user_agent, $request_method 等。$目标变量 是你自定义的新变量名。default 表示默认值当没有匹配时使用。2.2. 修改配置文件判断UAmap $http_user_agent $log { ~*lb_check|curl|wget 0; default 1; } server { listen 80; server_name lb.linux.cn; root /app/code/lb/; access_log /var/log/nginx/lb-access.log main if$log; error_log /var/log/nginx/lb-error.log notice; location / { index index.html; } }2.3. 重启服务nginx -t systemctl reload nginx2.4. 测试1.web02上测试 curl -A lb_check -H Host:lb.oldboy.cn http://10.0.0.7 curl -A lb -H Host:lb.oldboy.cn http://10.0.0.7 2.web01上查看日志 tail -f /var/log/nginx/lb-access.log3. ✅rewrite功能与return类似在 Nginx 中return和rewrite都可以用于实现URL 重定向或跳转但它们的功能、行为和适用场景完全不同。下面详细对比它们的区别3.1. 基本概念特性returnrewrite类型控制流指令URL 重写指令是否发送 HTTP 响应是直接返回响应否修改请求后继续处理主要用途立即返回状态码或跳转到新地址修改 URL 路径内部跳转或外部重定向支持的状态码支持所有标准 HTTP 状态码如 200, 301, 302, 403, 404 等仅支持 301、302、303、307、308 的跳转3.2. 用法详解与示例3.2.1. return立即返回指定的 HTTP 响应3.2.1.1. 语法return [状态码] [重定向地址];3.2.1.2. 示例 1返回错误页面location /error { return 404; }3.2.1.3. 示例 2301 永久重定向location /old-page { return 301 https://example.com/new-page; }3.2.1.4. 示例 3直接返回字符串内容常用于调试location /hello { return 200 Hello World!; }3.2.1.5. 实例 4return 变量server { listen 80; server_name baidu.linux.cn; return 301 http://www.baidu.cn$request_uri; }⚠️ 注意return一旦执行Nginx 就不会再处理后续的逻辑而是立即返回响应。3.2.2. rewrite重写 URL控制请求路径3.2.2.1. 语法rewrite 正则表达式 替换内容 [flag];支持正则匹配可以配合break,last,redirect,permanent等 flag 使用rewrite标记(flag)redirect302临时跳转新旧地址都可以用permanent301永久跳转旧地址SEO排名取消只用新地址break类似exit后面还有其他的可以匹配location不会继续匹配last类似continue结束当前匹配进行下个location匹配3.2.2.2. 示例 1内部重写不改变浏览器地址rewrite ^/user/(\d)$ /profile.php?id$1 break;浏览器看到的是/user/123服务器实际处理的是/profile.php?id1233.2.2.3. 示例 2302 临时重定向rewrite ^/old-path$ /new-path redirect;返回 302浏览器地址栏会变成/new-path3.2.2.4. 示例 3301 永久重定向rewrite ^/old-blog/(.*)$ https://blog.example.com/$1 permanent;返回 301适合 SEO 权重转移3.3. 核心区别总结对比项returnrewrite是否中断请求处理✅ 是立即返回响应❌ 否继续处理新的 URL是否可带响应体✅ 可以自定义内容❌ 不行只能跳转或改写 URL是否支持正则❌ 不支持✅ 支持是否可用于 URL 重写❌ 不可做内部重写✅ 可以做内部重写是否更高效✅ 更快因为不继续处理❌ 相对慢一点需要重新匹配 location3.4. 使用建议场景推荐使用需要立即返回错误或内容return需要做复杂的 URL 匹配和重写rewrite做 SEO 友好的永久跳转return 301或rewrite ... permanent临时跳转测试return 302或rewrite ... redirect内部路径映射浏览器地址不变rewritebreak3.5. 综合对比示例配置行为return 301 https://example.com;立即返回 301浏览器跳转rewrite ^/old$ /new redirect;返回 302跳转到/newrewrite ^/old$ /new break;不跳转内部将/old映射为/new处理return 403;立即返回 403 错误rewrite ^/api/(.*)$ /v2/api/$1 break;内部重写 API 路径浏览器无感知4. ✅https数字证书https http over tls进行你加密网站,申请https证书文件.(公钥(证书),私钥)对外:一般申请/购买使用(网站,app,小程序)对内:自己创建4.1. ☀️申请证书方式通过命令创建(自建证书),其他人访问,提示网站不安全.申请免费证书(有效期是3个月);阿里云,Lets Encrypt正式:购买证书根据加密与安全方式分类4.2. 阿里云上申请ssl证书4.2.1. 在数字证书管理服务中选择ssl证书管理点击立即购买4.2.2. 选择个人测试证书点击立即购买4.2.3. 支付4.2.4. 登录管理控制台4.2.5. 创建证书4.2.6. 输入域名选择快速签发提交审核4.2.7. 审核通过后选择证书下载到电脑上4.3. 部署ssl证书4.3.1. 将ssl证书存放到/etc/nginx/keys/目录下4.3.2. 修改nginx配置文件server { listen 80; server_name www.zhubl.xyz; return 302 https://www.zhubl.xyz$request_uri; access_log off; } server { listen 443 ssl http2; server_name www.zhubl.xyz ; ssl_certificate /etc/nginx/keys/zhubl.xyz.pem; ssl_certificate_key /etc/nginx/keys/zhubl.xyz.key; root /app/code/ssl/; location / { index index.html; } }4.3.3. 重启nginx服务#检查配置文件 nginx -t #重启 systemctl reload nginx #检查端口 ss -lntup | grep nginx4.3.4. 浏览器访问http://www.zhubl.xyz 自动跳转 https://www.zhubl.xyz4.4. 监控https证书是否过期30天#1.获取过期日期,转换为秒 date_expirecurl -s -v -o /dev/null https://www.jd.com| grep expire date|awk -F: {print $2} date_expire_secondsdate %s -d $date_expire date_now_secondsdate %s days_leftecho ($date_expire_seconds - $date_now_seconds )/86400 |bc 4.5. 自建证书#创建私钥 私钥server.key openssl genrsa -idea -out server.key 2048 #根据私钥创建 证书 server.crt .pem证书 openssl req -days 36500 -x509 -sha256 - nodes -newkey rsa:2048 -keyout server.key - out server.crt5. ✅nginx配置优化server { listen 443 ssl; keepalive_timeout 70; #指定ssl加密协议的版本 不要 加上TLSv1.0不安全. ssl_protocols TLSv1.1 TLSv1.2 TLSv1.3; #加密算法. 需要排除不安全的算法 #排除null空算法, md5算法 ssl_ciphers AES128- SHA:AES256-SHA:RC4-SHA:DES-CBC3-SHA:RC4- MD5:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5; ssl_certificate /usr/local/nginx/conf/cert.pem; ssl_certificate_key /usr/local/nginx/conf/cert.key; #设置https 会话缓存 10MB大小的空间用于 存储缓存. ssl_session_cache shared:SSL:10m; #超时时间 10分钟 ssl_session_timeout 10m; }