nginx高级模块
secure_link_module模块
作用:用于校验链接的真实性(md5)和有效时间(expires)
(学习视频分享:java视频教程)
nginx配置
server { listen 7001; server_name study; root /home/jaryn/nginx_study/pic; location / { secure_link $arg_md5,$arg_expires; #md5生成方法和下面脚本一致,jaryn可以看成是服务端的“盐值” secure_link_md5 "$secure_link_expires$uri jaryn"; if ($secure_link = "") { return 403; } if ($secure_link = "0") { return 410; } } }
登录后复制
生成访问链接的脚步 secure_link_module.sh
#!/bin/sh # servername="www.jaryn.cn:7001" download_file="/test.jepg" time_num=$(date -d "2018-9-9 00:00:00" +%s) secret_num="jaryn" #利用openssl生成链接中的md5参数 res=$(echo -n "${time_num}${download_file} ${secret_num}"|openssl md5 -binary | openssl base64 | tr +/ -_ | tr -d = ) echo "http://${servername}${download_file}?md5=${res}&expires=${time_num}"
登录后复制
执行脚本
[root@localhost nginx_study]# sh secure_link_module.sh http://www.jaryn.cn:7001/test.jepg?md5=MqtYCSugfDKmLiKuskPmuA&expires=1536422400
登录后复制
结果
生成的链接可以正常访问,但是如果改变了md5的值或者过期时间,则会出现403。
http_geoip_module模块
作用:基于ip地址匹配MaxMind GeoIP 二进制文件,读取ip所在地地域信息。
区别国内外做http访问规则
区别国内城市地域做http访问规则
没有模块的安装模块
yum install nginx-module-geoip
登录后复制
如果提示没有可用软件包
nginx-module-geoip
登录后复制
需要更换下nginx的yum源
vim /etc/yum.repos.d/nginx.repo
登录后复制
将以下内容copy进去
[nginx] name=nginx repo baseurl=http://nginx.org/packages/centos/$releasever/$basearch/ gpgcheck=0 enabled=1
登录后复制
重新执行安装
在/etc/nginx/modules下可以看到该模块
nginx手动加载模块
cd /usr/share/nginx/modules/ vim self.conf
登录后复制
文件内容如下
load_module "/usr/lib64/nginx/modules/ngx_http_geoip_module.so";
登录后复制
下载geoip dat数据文件
地址如下
国家文件:http://geolite.maxmind.com/download/geoip/database/GeoLiteCountry/GeoIP.dat.gz 城市文件:http://geolite.maxmind.com/download/geoip/database/GeoLiteCity.dat.gz
登录后复制
解压相应文件
gunzip GeoIP.dat.gz gunzip GeoLiteCity.dat.gz
登录后复制
nginx配置
geoip_country /home/jaryn/nginx_study/data/GeoIP.dat; geoip_city /home/jaryn/nginx_study/data/GeoLiteCity.dat; server { listen 7001; server_name study; location / { if ($geoip_country_code != CN) { return 403; } root /home/project/nginx-code; index admin.html; } #通过访问/myip可以获取相应的ip和geo信息 location /myip { default_type text/plain; return 200 "$remote_addr $geoip_country_name $geoip_country_code $geoip_city"; } }
登录后复制
错误
nginx: [emerg] module "/usr/lib64/nginx/modules/ngx_http_geoip_module.so" version 1012002 instead of 1014000 in /usr/share/nginx/modules/mod-http-geoip.conf:1
登录后复制
解决方法
yum remove nginx-mod* yum install nginx-module-*
登录后复制
结论
通过配置。非中国ip的ip访问就会返回403,只有中国的ip才能访问。
https模块(nginx ssl)
linux没有openssl模块的自己安装openssl。
生成秘钥和CA证书,需要http-ssl-module模块
生成key秘钥
#利用openssl生成 openssl genrsa -idea -out jaryn.key 1024
登录后复制
生成证书签名请求文件(csr文件),生成证书签名文件(CA文件)
#下面的命令需要根据提示输入相应的信息,输入即可 openssl req -new -key jaryn.key -out jaryn.csr #打包成crt openssl x509 -req -days 3650 -in jaryn.csr -signkey jaryn.key -out jaryn.crt #也可以直接用key生成crt文件,keyout会重新生成.key文件,重启nginx的时候就不需要输入密码了 openssl req -days 36500 -x509 -sha256 -nodes -newkey rsa:2048 -keyout jaryn.key -out jaryn_a.crt
登录后复制
nginx配置
server { listen 443; server_name studyssl; ssl on; ssl_certificate /home/jaryn/nginx_study/ssl_key/jaryn.crt; ssl_certificate_key /home/jaryn/nginx_study/ssl_key/jaryn.key; index admin.html; location / { root /home/project/nginx-code; } }
登录后复制
访问
`直接访问你的地址,https默认443:https://192.168.1.10/admin.html`
登录后复制
https服务优化
激活keepalive长连接
设置ssl session缓存
server { listen 443; server_name studyssl; ssl on; ssl_session_cache shared:SSL:10m; ssl_session_timeout 10m; ssl_certificate /home/jaryn/nginx_study/ssl_key/jaryn.crt; ssl_certificate_key /home/jaryn/nginx_study/ssl_key/jaryn.key; index admin.html; location / { root /home/project/nginx-code; } }
登录后复制
相关推荐:nginx教程
以上就是nginx高级模块有哪些的详细内容,更多请关注Work网其它相关文章!