当前位置: 开发笔记 > 后端 > 正文

通过nginx代理拦截请求进行全局访问限制

作者：853530960_eafb59 | 来源：互联网 | 2022-08-11 06:31

这篇文章主要介绍了通过nginx代理拦截请求进行全局访问限制，小编觉得挺不错的，现在分享给大家，也给大家做个参考。一起跟随小编过来看看吧

本文介绍了通过nginx代理拦截请求进行全局访问限制，分享给大家，具体如下：

运行环境：

Ubantu 14.0
tomcat7
nginx 1.4.6(更新后1.5.6）

项目中经常会用到权限管理，必然的就会存在权限的设定和验证；对于登陆或者模块的权限设定验证，在项目中直接实现；那么问题出现了

1.访问资源文件

2.多项目访问权限

3.tomcat中虚拟目录的访问权限

公司项目中用到文件的上传下载，在线预览等功能；当然用户在使用的时候，我们不可能把用户的上传的文件放在项目中，那么必然会用到

虚拟目录来映射文件的位置，或者说跨域夸项目；如果没有对这些进行一个访问的权限的限制，那么你将可以不需要任何权限就可以访问下载

服务器上的资源（只要路径正确不需要任何权限），下面拿公司项目实际情况说明一下：

比如访问： http://192.168.1.118/filefindPDFfilePath&＃63;filePath=root/(A)/上传应用描述.docx 将出现

filefindPDFfilePath&＃63;filePath=root/(A)/上传应用描述.docx http 请求会返回 /imgss/(A)/上传应用描述.docx（imgss是tomcat server.xml配置的虚拟目录）

打开浏览器我们直接访问虚拟目录：http://192.168.1.118/imgss/(A)/上传应用描述.docx 将出现不需要任何权限可以预览或者使用工具下载服务器资源

这会导致客户在使用时，在稍有心思的人面前没有任何安全可言

下面说一下如何解决这个问题：

第一种方案：设置tomcat全局过滤器，进行session验证

1.项目中添加过滤器 UserLoginFilter.java（这里就不赘述了）

2.在tomcat 配置文件web.xml添加Filter

注意这里：applicaton/com.rhxy.service.UserLoginFilter 指向项目中的UserLoginFilter过滤器

这里需要说明一下。配置的拦截请求都是tomcat server.xml中配置的虚拟路径

而所有的访问资源的请求都是需要经过这里，所以直接设置虚拟路径即可

启动tomcat 重新部署项目;进行测试。结果如下

未登录情况下

访问：http://192.168.1.118/filefindPDFfilePath&＃63;filePath=root/(A)/12.png 打开tomcat 日志进行观察：

观察一下前台：

未登录情况下被成功被过滤掉了

测试直接访问虚拟目录：http://192.168.1.118/imgss/(A)/12.png同样被拦截

然后测试登陆后访问，就出现问题了。请求是被过滤了，但是权限验证合格以后请求返回的status 居然是404

后台日志:

前台:

http://192.168.1.118/filefindPDFfilePath&＃63;filePath=root/(A)/12.png

http://192.168.1.118/imgss/(A)/12.png 通过后台观察，请求都是有经过过滤器进行session验证，并且都是验证通过，然而还是出现404，资源在

服务器中是肯定存在的，tomcat 中的虚拟目录设置也没有问题；经过多次测试问题出在tomcat配置文件web.xml配置的过滤器，映射的是项目中的过滤器

那么将过滤器打包成jar 以后，放置在tomcat 中，然后修改web.xml配置文件，修改Filter 中filter-class 为jar包打包的路径，然后测试发现项目无法启动。

在配置Filter 中filter-class 路径时出错；然后经过一系列尝试，最终还是失败，因为时间有限，所以只能放弃这种,但是我相信思路肯定是正确的，因为

听说已经有人实现了，但是没有具体说明，下面开始尝试第二种

第二种方案：通过nginx代理拦截请求，并进行访问限制

1.使用 nginx -V 查看版本几安装的模块，查看是否有ngx_http_accesskey_module模块，没有的话需要为nginx加入ngx_http_accesskey_module模块（附件），因为我的版本是1.4.6上面很多模块都没有，先进行升级

1.1)下载nginx-1.5.6.tar.gz (文件位置在/root下)

wget http://nginx.org/download/nginx-1.5.6.tar.gz

1.2)解压nginx-1.5.6.tar.gz文件

tar zxvf nginx-1.5.6.tar.gz

1.3)进入ngixn-1.5.6文件夹中

cd nginx-1.5.6

1.4)查看nginx原来的配置输出：

--prefix=/etc/nginx--conf-path=/etc/ nginx/nginx.conf--error-log-path=/var/log/nginx/error.log --http-client-body-te mp-path=/var/lib/nginx/body--http-fastcgi-temp-path=/var/lib/nginx/fastcgi --http-log-path=/var/log/nginx/access.log--http-proxy-temp-path=/var/lib/nginx/proxy --http-scgi-temp-path=/var/lib/nginx/scgi--http-uwsgi-temp-path=/var/lib/nginx/uwsgi --lock-path=/var/lock/nginx.lock --pid-path=/var/run/nginx.pid--with-http_realip_module --with-http_stub_status_module--with-http_ssl_module

--with-debug--with-http_addition_module --with-http_dav_module --with-http_geoip_module --with-http_gzip_static_module --with-http_realip_module --with-http_stub_status_module --with-http_ssl_module --with-http_sub_module --with-http_xslt_module --with-ipv6--with-sha1=/usr/include/openssl --with-md5=/usr/include/openssl

--with-mail--with-mail_ssl_module

2.下载ngx_http_accesskey_module模块

2.1)mkdir -p /etc/nginx/third-modules

2.2)cd /etc/nginx/third-modules

2.3)wget ftp://91.193.69.2/distributive/FreeBSD/ports/local-distfiles/osa/nginx-accesskey-2.0.3.tar.gz

2.4)tar -zxvf nginx-accesskey-2.0.3.tar.gz

2.5)修改下nginx-accesskey-2.0.3的config文件：把$HTTP_ACCESSKEY_MODULE修改成ngx_http_accesskey_module

3.返回root下nginx-1.5.6

3.1)执行configure命令,后面跟上原来nginx的配置并添加ngx_http_accesskey_module

./configure --prefix=/etc/nginx --conf-path=/etc/nginx/nginx.conf --error-log-path=/var/log/nginx/error.log --http-client-body-temp-path=/var/lib/nginx/body --http-fastcgi-temp-path=/var/lib/nginx/fastcgi --http-log-path=/var/log/nginx/access.log --http-proxy-temp-path=/var/lib/nginx/proxy --http-scgi-temp-path=/var/lib/nginx/scgi --http-uwsgi-temp-path=/var/lib/nginx/uwsgi --lock-path=/var/lock/nginx.lock --pid-path=/var/run/nginx.pid --with-http_realip_module --with-http_stub_status_module --with-http_ssl_module --with-debug --with-http_addition_module --with-http_dav_module --with-http_geoip_module --with-http_gzip_static_module --with-http_realip_module --with-http_stub_status_module --with-http_ssl_module --with-http_sub_module --with-http_xslt_module --with-ipv6 --with-sha1=/usr/include/openssl --with-md5=/usr/include/openssl --with-mail --with-mail_ssl_module --add-module=/etc/nginx/third-modules/nginx-accesskey-2.0.3

在执行configure时得到几个错误:

a.配置 --with-http_xslt_module 时提示 the HTTP XSLT module requires the libxml2/libxslt libraries

sudo apt-get install libxml2 libxml2-dev libxslt-dev

b.配置 --with-http_image_filter_module 时提示 the HTTP image filter module requires the GD library.

sudo apt-get install libgd2-xpm libgd2-xpm-dev

c.配置 --with-http_geoip_module 时提示 the GeoIP module requires the GeoIP library.

sudo apt-get install geoip-database libgeoip-dev

d.rewrite需要pcre支持, 错误提示：./configure: error: the HTTP rewrite module requires the PCRE library.

apt-get install libpcre3 libpcre3-dev

e.ubuntu error: SSL modules require the OpenSSL library.

sudo apt-get install openssl libssl-dev

3.2)再执行第6步的configure命令

3.3)这次没有提示缺少library, 执行make令命编译nginx, 编译好以后objs目录下多出一个nginx文件，这个就是已编辑好的nginx程序

make

3.4)更改旧的nginx程序的名子,并复制新的程序过去,我的旧nginx程序放在/usr/sbin/目录中

mv /usr/sbin/nginx /usr/sbin/nginx-20160910
cp objs/nginx /usr/sbin/nginx
/usr/sbin/nginx -t

执行/usr/sbin/nginx -t 命令检查配置文件并将返回下面的信息:

nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful

3.5)在nginx-1.5.6目录下执行下面的命令来升级nginx

make upgrade

3.6)执行make upgrade得到一个错误：

make: /etc/nginx/sbin/nginx: Command not foundmake: *** [upgrade] Error 127

3.7)用文本编辑器打开修改nginx-1.5.6目录下名为Makefile的文件，将upgrade节点中的/etc/nginx/sbin/nginx -t改为/usr/sbin/nginx -t,保存后关闭并重新执行make upgrade命令

3.8)执行nginx -V命令，程序的版本号已经是1.5.6，升级完毕.

4.修改nginx配置文件 vim /etc/nginx/sites-available/localhost

location ^~ /imgss/
    {
    # root /data/customfiles/photos/;
    # expires 30d;
    accesskey off;
    accesskey_arg "sign";
    accesskey_hashmethod md5;
    accesskey_signature "xxxxxxx";
    proxy_set_header  Host $host;
    proxy_pass http://127.0.0.1:8080;
    }

accesskey 为模块开关；
accesskey_hashmethod 为加密方式MD5或者SHA-1；
accesskey_arg 为url中的关键字参数；
accesskey_signature 为xxxxxxx加密值构成的字符串。

保存后，重启nginx ：service nginx restart &＃63;sign=(这里为accesskey_signature MD5加密值)

再次进行测试,使用http://192.168.1.118/filefindPDFfilePath&＃63;filePath=root/(A)/12.png进行访问，将请求返回的URl /imgss/(A)/上传应用描述.docx后面添加&＃63;sign=(这里为accesskey_signature MD5加密值)

测试结果:未登录情况下 http://192.168.1.118/filefindPDFfilePath&＃63;

filePath=root/(A)/12.png http://192.168.1.118/imgss/(A)/12.png

都将返回404页面。登陆后返回正常页面，显示12.png

以上就是本文的全部内容，希望对大家的学习有所帮助，也希望大家多多支持。

推荐阅读

vim
【译】发送表单数据

这是原文链接：sendingformdata许多情况下，我们使用表单发送数据到服务器。服务器处理数据并返回响应给用户。这看起来很简单，但是 ... [详细]

蜡笔小新 2023-12-14 16:19:10
vim
Java序列化对象传给PHP的方法及原理解析

本文介绍了Java序列化对象传给PHP的方法及原理，包括Java对象传递的方式、序列化的方式、PHP中的序列化用法介绍、Java是否能反序列化PHP的数据、Java序列化的原理以及解决Java序列化中的问题。同时还解释了序列化的概念和作用，以及代码执行序列化所需要的权限。最后指出，序列化会将对象实例的所有字段都进行序列化，使得数据能够被表示为实例的序列化数据，但只有能够解释该格式的代码才能够确定数据的内容。 ... [详细]

蜡笔小新 2023-12-14 15:25:15
vim
图解redis的持久化存储机制RDB和AOF的原理和优缺点

本文通过图解的方式介绍了redis的持久化存储机制RDB和AOF的原理和优缺点。RDB是将redis内存中的数据保存为快照文件，恢复速度较快但不支持拉链式快照。AOF是将操作日志保存到磁盘，实时存储数据但恢复速度较慢。文章详细分析了两种机制的优缺点，帮助读者更好地理解redis的持久化存储策略。 ... [详细]

蜡笔小新 2023-12-13 20:24:11
vim
Web学习历程记录（七）——Tomcat基本概念和配置

本文介绍了Web学习历程记录中关于Tomcat的基本概念和配置。首先解释了Web静态Web资源和动态Web资源的概念，以及C/S架构和B/S架构的区别。然后介绍了常见的Web服务器，包括Weblogic、WebSphere和Tomcat。接着详细讲解了Tomcat的虚拟主机、web应用和虚拟路径映射的概念和配置过程。最后简要介绍了http协议的作用。本文内容详实，适合初学者了解Tomcat的基础知识。 ... [详细]

蜡笔小新 2023-12-13 17:08:24
vim
在mac环境下使用nginx配置nodejs代理服务器的步骤

本文介绍了在mac环境下使用nginx配置nodejs代理服务器的步骤，包括安装nginx、创建目录和文件、配置代理的域名和日志记录等。 ... [详细]

蜡笔小新 2023-12-13 10:34:21
pip
31.项目部署

目录1一些概念1.1项目部署1.2WSGI1.3uWSGI1.4Nginx2安装环境与迁移项目2.1项目内容2.2项目配置2.2.1DEBUG2.2.2STAT ... [详细]

蜡笔小新 2023-12-12 12:15:41
pip
MySQL语句大全：创建、授权、查询、修改等【MySQL】的使用方法详解

本文详细介绍了MySQL语句的使用方法，包括创建用户、授权、查询、修改等操作。通过连接MySQL数据库，可以使用命令创建用户，并指定该用户在哪个主机上可以登录。同时，还可以设置用户的登录密码。通过本文，您可以全面了解MySQL语句的使用方法。 ... [详细]

蜡笔小新 2023-12-11 15:34:14
spring
分享css中提升优先级属性!important的用法总结

web前端|css教程css!importantweb前端-css教程本文分享css中提升优先级属性!important的用法总结微信门店展示源码,vscode如何管理站点,ubu ... [详细]

蜡笔小新 2023-12-11 11:25:16
python
svnWebUI：一款现代化的svn服务端管理软件

svnWebUI是一款图形化管理服务端Subversion的配置工具，适用于非程序员使用。它解决了svn用户和权限配置繁琐且不便的问题，提供了现代化的web界面，让svn服务端管理变得轻松。演示地址：http://svn.nginxwebui.cn:6060。 ... [详细]

蜡笔小新 2023-12-11 11:01:10
ci
Servlet多用户登录时HttpSession会话信息覆盖问题的解决方案

本文讨论了在Servlet多用户登录时可能出现的HttpSession会话信息覆盖问题，并提供了解决方案。通过分析JSESSIONID的作用机制和编码方式，我们可以得出每个HttpSession对象都是通过客户端发送的唯一JSESSIONID来识别的，因此无需担心会话信息被覆盖的问题。需要注意的是，本文讨论的是多个客户端级别上的多用户登录，而非同一个浏览器级别上的多用户登录。 ... [详细]

蜡笔小新 2023-12-10 12:00:40
spring
开发笔记：spring boot项目打成war包部署到服务器的步骤与注意事项

本文介绍了将spring boot项目打成war包并部署到服务器的步骤与注意事项。通过本文的学习，读者可以了解到如何将spring boot项目打包成war包，并成功地部署到服务器上。 ... [详细]

蜡笔小新 2023-12-10 11:49:29
spring
目录浏览漏洞与目录遍历漏洞的危害及修复方法

本文讨论了目录浏览漏洞与目录遍历漏洞的危害，包括网站结构暴露、隐秘文件访问等。同时介绍了检测方法，如使用漏洞扫描器和搜索关键词。最后提供了针对常见中间件的修复方式，包括关闭目录浏览功能。对于保护网站安全具有一定的参考价值。 ... [详细]

蜡笔小新 2023-12-09 23:30:30
spring
SpringMVC工作流程概述

SpringMVC工作流程概述 ... [详细]

蜡笔小新 2023-12-09 18:43:26
spring
项目运行环境配置及可行性分析

本文介绍了项目运行环境配置的要求，包括Jdk1.8、Tomcat7.0、Mysql、HBuilderX等工具的使用。同时对项目的技术可行性、操作可行性、经济可行性、时间可行性和法律可行性进行了分析。通过对数据库的设计和功能模块的设计，确保系统的完整性和安全性。在系统登录、系统功能模块、管理员功能模块等方面进行了详细的介绍和展示。最后提供了JAVA毕设帮助、指导、源码分享和调试部署的服务。 ... [详细]

蜡笔小新 2023-12-09 09:02:14
spring
Tomcat安装与配置教程及常见问题解决方法

本文介绍了Tomcat的安装与配置教程，包括jdk版本的选择、域名解析、war文件的部署和访问、常见问题的解决方法等。其中涉及到的问题包括403问题、数据库连接问题、1130错误、2003错误、Java Runtime版本不兼容问题以及502错误等。最后还提到了项目的前后端连接代码的配置。通过本文的指导，读者可以顺利完成Tomcat的安装与配置，并解决常见的问题。 ... [详细]

蜡笔小新 2023-12-09 07:28:32

853530960_eafb59

这个家伙很懒，什么也没留下！

Tags | 热门标签

RankList | 热门文章