Nginx作為反向代理并以HTTP協(xié)議反向代理HTTPS服務(wù)

這篇文章主要介紹“Nginx作為反向代理并以HTTP協(xié)議反向代理HTTPS服務(wù)”，在日常操作中，相信很多人在Nginx作為反向代理并以HTTP協(xié)議反向代理HTTPS服務(wù)問題上存在疑惑，小編查閱了各式資料，整理出簡單好用的操作方法，希望對(duì)大家解答”Nginx作為反向代理并以HTTP協(xié)議反向代理HTTPS服務(wù)”的疑惑有所幫助！接下來，請(qǐng)跟著小編一起來學(xué)習(xí)吧！

簡單記錄一下 Nginx 作為反向代理，以 HTTP 協(xié)議向下游客戶端代理基于Spring Security 實(shí)現(xiàn)的HTTPS 服務(wù)時(shí)遇到的問題及解決辦法。

背景

有個(gè)基于 Spring Security、Spring MVC 實(shí)現(xiàn)的 HTTPS Web 應(yīng)用，需要通過 Nginx 作為反向代理向外提供服務(wù)。
Nginx 和 Web 應(yīng)用部署在同一臺(tái)機(jī)器，IP 為 10.115.6.165。Web 應(yīng)用以 HTTPS 協(xié)議監(jiān)聽在端口 19026。

關(guān)于Nginx，因?yàn)槲覀儠?huì)需要 headers more 模塊中的 more_set_headers 指令。所以，如果是 Windows 環(huán)境，推薦在 http://nginx-win.ecsds.eu/ 下載，因?yàn)樗膎ginx編譯進(jìn)了更多模塊。如果是 Linux 環(huán)境，也請(qǐng)確認(rèn) headers more 模塊的 more_set_headers 指令可用。

Nginx 以 HTTP 的方式反向代理。

用以下配置運(yùn)行 Ngnix， 使Nginx用 HTTP 協(xié)議在 9080 端口反向代理 19026 上的 HTTPS 服務(wù)。

server {
    listen       9080;
    server_name  10.115.6.165;

    location /databoard/ {
        proxy_pass  https://10.115.6.165:19026/databoard/;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For    $proxy_add_x_forwarded_for;
        proxy_set_header REMOTE-HOST        $remote_addr;
        proxy_set_header X-Forwarded-Proto  $scheme;
        proxy_redirect off;
    }
}

但是如果我們用瀏覽器訪問http://10.115.6.165:9080/databoard/login，就會(huì)發(fā)現(xiàn)如下圖所示的兩個(gè)問題：

1）后端服務(wù)使用 redirect 重定向?qū)е碌膯栴}

瀏覽器地址欄上顯示被重定向到了https://10.115.6.165/databoard/dataCmder。這是因?yàn)楹蠖薟eb應(yīng)用執(zhí)行了redirect重定向語句，而重定向的協(xié)議、地址是基于web應(yīng)用上下文的，而nginx并沒有做特別的處理就轉(zhuǎn)發(fā)給了瀏覽器，瀏覽器自然不能訪問到這個(gè)地址。解決辦法如下：

map $upstream_http_Location $location {
  ~https://10.115.6.165/(?<param>.*) http://10.115.6.165:9080/$param;
  default $upstream_http_Location;
}

server {
    ... ...
    location /databoard/ {
        ... ...
        more_set_headers -s '301 302' 'Location $location';

2）Cookie 攜帶 Secure 屬性導(dǎo)致瀏覽器不能在請(qǐng)求中攜帶 SessionID 的問題。

有 Secure 屬性的 Cookie 意味著如果瀏覽器不是使用 HTTPS 與服務(wù)建立鏈接，那么這個(gè) cookie 里的值不會(huì)隨請(qǐng)求一起向服務(wù)器發(fā)送。要解決這個(gè)問題就需要在 Nginx 中把 cookie 中的 Secure 屬性去掉再傳給瀏覽器。解決辦法如下：

map $sent_http_set_cookie $resp_cookie {
    ~*(?<CK_WITHOUT_SECURE>.+)Secure $CK_WITHOUT_SECURE;
}

server {
    ... ...
    location /databoard/ {
        ... ...
        more_set_headers 'Set-Cookie: $resp_cookie';

完整的相關(guān)配置

map $upstream_http_Location $location {
  ~https://10.115.6.165/(?<param>.*) http://10.115.6.165:9080/$param;
  default $upstream_http_Location;
}

map $sent_http_set_cookie $resp_cookie {
    ~*(?<CK_WITHOUT_SECURE>.+)Secure $CK_WITHOUT_SECURE;
}

server {
    listen       9080;
    server_name  10.115.6.165;

    location /databoard/ {
        proxy_pass  https://10.115.6.165:19026/databoard/;

        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For    $proxy_add_x_forwarded_for;
        proxy_set_header REMOTE-HOST        $remote_addr;
        proxy_set_header X-Forwarded-Proto  $scheme;
        proxy_redirect off;

        more_set_headers -s '301 302' 'Location $location';
        more_set_headers 'Set-Cookie: $resp_cookie';
    }
}

Nginx 以 HTTPS 的方式反向代理。

如果 nginx 是以 HTTPS 協(xié)議向外提供反向代理，那么無論使用七層代理還是四層代理配置起來都很簡單，如下：

3）四層反向代理。

stream {
    upstream databoardServer {
        hash $remote_addr consistent;
        server 10.115.6.165:19026 weight=5;
    }

    server {
        listen 9082;
        proxy_connect_timeout 1s;
        proxy_timeout 3s;
        proxy_pass databoardServer;
    }
}

4）七層反向代理。

server {
    listen       443 ssl;
    server_name  10.115.6.165;
    ssl_certificate D:\\tmp\\opensslCrt\\demoAppChain.crt;
    ssl_certificate_key D:\\tmp\\opensslCrt\\demoApp.key;

    location / {
        proxy_pass https://10.115.6.165:19026;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header Referer https://10.115.6.165;
    }
}

關(guān)于 Spring Session Cookie Secure 配置

當(dāng)時(shí)為了不用在 Nginx 上處理 Cookie ，想通過直接配置 Spring Web 應(yīng)用不讓 Cookie 帶上 Secure 屬性。于是直接修改配置 application.properties 如下，但是返回給 nginx 的 Cookie 還是帶 Secure 屬性。（類似的還有cookie的HttpOnly也不僅僅是一個(gè)配置能決定的）

server.session.cookie.secure=false

通過跟蹤 Spring 源碼發(fā)現(xiàn)，只要應(yīng)用是運(yùn)行在 HTTPS 協(xié)議下的，那么就會(huì)讓生成的 Cookie 是 Secure 的。

到此，關(guān)于“Nginx作為反向代理并以HTTP協(xié)議反向代理HTTPS服務(wù)”的學(xué)習(xí)就結(jié)束了，希望能夠解決大家的疑惑。理論與實(shí)踐的搭配能更好的幫助大家學(xué)習(xí)，快去試試吧！若想繼續(xù)學(xué)習(xí)更多相關(guān)知識(shí)，請(qǐng)繼續(xù)關(guān)注億速云網(wǎng)站，小編會(huì)繼續(xù)努力為大家?guī)砀鄬?shí)用的文章！