nginx反向代理 https内部定向到http报302问题解决方案,【亲测】

最新推荐文章于 2025-06-18 22:54:49 发布
最新推荐文章于 2025-06-18 22:54:49 发布
阅读量6.1w 收藏 10
点赞数 1
分类专栏: nginx https
本文介绍了一种客服系统的HTTPS改造方案,解决了因HTTP跳转导致的安全问题。通过在负载均衡器上配置SSL证书,并调整Nginx与Tomcat设置,确保所有内部通信使用一致的安全协议。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

0. 环境信息

Linux:Linux i-8emt1zr1 2.6.32-573.el6.x86_64 #1 SMP Wed Jul 1 18:23:37 EDT 2015 x86_64 x86_64 x86_64 GNU/Linux

nginx:nginx version: openresty/1.9.3.2

Tomcat:Server version: Apache Tomcat/7.0.64

 

1. 问题描述
我们开发的客服系统,因为消息的到来,有的谷歌浏览器(V62)不支持http的消息提醒,要求https,故而,我们的系统,要将系统改造成https模式,另外,我们的系统,也有必要转化为https,为后续推广做准备。

 

2. 系统架构
LB+nginx+tomcat集群

 

3. 当前配置情况
SSL证书配置在LB上,nginx和tomcat服务器上,任然采用http协议通讯。即LB在接收到客户浏览器https请求消息后,将转发给LB下挂载的nginx上,都是以http的方式转发,nginx对这些请求进行反向代理,代理到后面的tomcat服务器上。

 

4. 遇到的问题
客服系统,有权限控制,基于tomcat的web应用,用户登录后,执行redirect跳转到指定的服务页面。就是这个跳转,遇到了问题,redirect在这里都被当做http跳转了

登录前的样子:

登录后的样子:

问题主要发生在Tomcat7上,验证过tomcat8,是不存在问题的。

 

5. 如何解决

针对Tomcat7的这个问题,思路很简单,重点是解决redirect的时候,通知客户端浏览器以正确的scheme(https还是http)进行再次发起请求。
问题是, nginx这个时候收到的请求是来自LB的http请求了,怎么弄?其实是有办法的,可以利用HttpRequest中的referer字段,这个字段的含义,自行科普吧。将referer的请求scheme信息,用来作为当前请求的scheme,如此可以保证所有的请求都是同一个scheme,不会因为redirect而遗漏信息。

nginx里面相应的配置如下:

复制代码
     location /CSS/websocket {
            proxy_pass http://css_ws_svr;
            proxy_set_header Host $host;
            proxy_set_header Remote_Addr $remote_addr;
            proxy_set_header X-Real-IP $remote_addr;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
            proxy_http_version 1.1;
            proxy_set_header Upgrade $http_upgrade;
            proxy_set_header Connection "upgrade";
        }

        location /CSS {
            proxy_pass http://css_svr;
            proxy_set_header Host $host;
            proxy_set_header Remote_Addr $remote_addr;
            proxy_set_header X-Real-IP $remote_addr;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
            set $mscheme $scheme;
            if ($http_referer ~* ^https.*) {
                set $mscheme "https";
            }
            proxy_set_header X-Forwarded-Proto $mscheme;
        }
复制代码

如上配置,经过nginx反向代理后的HttpServletRequest中header部分就带上了字段X-Forwarded-Proto。

 

另外一方面,就是tomcat里面,要做一个配置,让tomcat在解析请求和做重定向的时候,知道用什么协议。主要的配置在server.xml里面的Engine下,定义一个Value元素。

具体配置如下:

复制代码
<Engine name="Catalina" defaultHost="localhost">

      
      <Realm className="org.apache.catalina.realm.LockOutRealm">
        <!-- This Realm uses the UserDatabase configured in the global JNDI
             resources under the key "UserDatabase".  Any edits
             that are performed against this UserDatabase are immediately
             available for use by the Realm.  -->
        <Realm className="org.apache.catalina.realm.UserDatabaseRealm"
               resourceName="UserDatabase"/>
      </Realm>

      <Host name="localhost"  appBase="webapps"
            unpackWARs="true" autoDeploy="true">
        
        <Valve className="org.apache.catalina.valves.AccessLogValve" directory="logs"
               prefix="localhost_access_log." suffix=".txt"
               pattern="%h %l %u %t &quot;%r&quot; %s %b" />

        <Valve className="org.apache.catalina.valves.RemoteIpValve" remoteIpHeader="X-Forwarded-For" protocolHeader="X-Forwarded-Proto" protocolHeaderHttpsValue="https"/>

        <Context path="/CSS" docBase="/home/tomcat/app/cssv2"/>
      </Host>
    </Engine>
复制代码

这个配置里面,重点是protocolHeader字段,意思就是说,当protocolHeader字段的值为protocolHeaderHttpsValue的https的时候,认为是安全连接,否则就是http的非安全连接。
对应的代码逻辑,可以看org.apache.catalina.valves.RemoteIpValve这个类的源码

复制代码
public void invoke(org.apache.catalina.connector.Request request, Response response)
 throws IOException, ServletException
{
......
if (protocolHeader != null) {
    String protocolHeaderValue = request.getHeader(protocolHeader);
    if (protocolHeaderValue != null)
    {

        if (protocolHeaderHttpsValue.equalsIgnoreCase(protocolHeaderValue)) {
            request.setSecure(true);
            
            request.getCoyoteRequest().scheme().setString("https");
        
            setPorts(request, httpsServerPort);
        } else {
            request.setSecure(false);
                
            request.getCoyoteRequest().scheme().setString("http");
                
            setPorts(request, httpServerPort);
        }
    }
}
......
}
复制代码

 

经过上面的分析和配置修改,最终很灵活的实现https和http同时工作。搞定这个问题,重点还是要对Http协议工作的流程有所了解,才能很容易的找到解决问题的思路。

若各位伙伴有更好的解决方案,也请分享或者一起探讨。

文章出处:https://www.cnblogs.com/shihuc/p/9047636.html

nginx 反向代理的典型应用场景及方案
qq490765184的博客
05-31 1682
nginx反向代理的典型应用场景与解决方法
nginx反向代理django应用非80端口,跳转错误404的问题
一越王超的博客
02-10 2392
在我们部署django应用的时候,通常的做法是用uwsgi或者gunicorn等wsgi server运行django工程,然后在前面放一个nginx反向代理,但是如果我们nginx没有使用80端口的话,有可能访问应用的/跳转的时候会出现404错误,丢失了端口, 跳转到另一个网站或者404,如何解决这个问题呢?很简单 1. django settings中添加如下配置 USE_X_FORWARDED_HOST = True 2. nginx中添加如下配置 proxy_set_header ..
nginx代理多次302的解决方法(nginx Follow 302)
01-10
用proxy_intercept_errors和recursive_error_pages代理多次302 302HTTP协议中的一个经常被使用状态码,是多种重定向方式的一种,其语义经常被解释为“Moved Temporarily”。这里顺带提一下,现实中用到的302多为误用(与303,307混用),在HTTP/1.1中,它的语义为“Found”. 302有时候很明显,有时候又比较隐蔽。最简单的情况,是当我们在浏览器中输入一个网址A,然后浏览器地址栏会自动跳到B,进而打开一个网页,这种情况就很可能是302。 比较隐蔽的情况经常发生在嵌入到网页的播放器中。例如,当你打开一个优酷视频播放页面时,
nginx反向代理时出现302错误
weixin_34345753的博客
03-26 3302
现象:nginx在使用非80端口做反向代理时,浏览器访问发现返回302错误原因:proxy.conf文件中定义的proxy_set_header Host $host;意思是nginx接收到浏览器请求后修改请求头中的host信息,然后再把请求转发给后端真实服务节点,服务节点响应后把返回信息传送给nginx,而由于nginx是使用的非80端口做代理后端服务节点却依然以为ngi...
Nginx转发中相对路径资源302问题的分析与解决
weixin_52236586的博客
06-18 613
Nginx转发中的302问题通常源于路径不一致,通过rewrite规则可以有效地解决这类问题。理解URL解析规则和Nginx处理流程,能够帮助我们更好地配置反向代理,避免常见的路径重定向问题
记录一次nginx反向代理, 转发302 found
DdChar的博客
06-15 9826
因为服务端A需要发送http请求去服务端C,获取数据,但公司原则不允许直接开通A和C的网络策略,只能通过公网访问C,所以从nginx所在的B与服务端C开通网络互访,然后用nginx进行转发,场景是这样。然后我在B机器上直接用curl命令去发送http请求可以正常返回,但是用代码去请求就302 found。经过查询,因为端口为非默认的80,故把设置修改proxy_set_header Host 为。
nginx反向代理非80端口 302问题 一层代理
春风吹尽叁佰里的博客
07-08 810
问题描述 首页正常访问 再次跳转url /Index/index 时出现打不开的情况 解决过程 proxy_set_header Host $host:$server_port; 最终解决办法 server { listen 80; server_name www.kevin.com; proxy_redirect http://www.kevin.com:9080/ /; location / { p
Nginx反向代理+Tomcat服务+Vue跨域
文化园
07-24 2196
Nginx反向代理配置+原理实战避坑+Vue跨域问题解决
nginx,一个高性能和反向代理服务器
林高禄
02-09 694
Nginx简介下载与安装nginx常用命令nginx配置文件第一部分:全局块第二部分: events 块第三部分: http反向代理实例一实例二location 指令说明负载均衡限流动静分离高可用 简介         Nginx ("engine x)是一个高性能的HTTP反向代理服务器,特点是占有内存少,并发能力强,事实上nginx的并发能力确实在同类型的网页服务器中表现较好    &nb
详解NGINX访问https跳转到http的解决方法
09-30
主要介绍了详解NGINX访问https跳转到http的解决方法,非常具有实用价值,需要的朋友可以参考下
使用nginxhttps)为(http)做反向代理.zip
03-19
1.里面包含nginx包和openssl包 2.安装部署说明,照着文档安装即可。 3.文档中详细描述怎样利用openssl生成私钥,已经nginx怎样读取私钥并转向http接口
为什么这位阿里架构师是这样定位nginx性能问题的(正向代理反向代理、负载均衡)?这几点总结的很齐全
VX13308414401的博客
06-11 902
前言 最近使用了基于Nginx的OpenResty的框架,于是对Nginx相关内容进行了学习,现将一些理解撰写成文,和大家探讨。干货较多,文章较长,可以一键三连(点赞+收藏+评论)然后慢慢观看学习 一、Nginx的产生原因 没有听过Nginx?那么一定听过它的"同行"Apache吧!Nginx同Apache一样都是一种WEB服务器。基于REST架构风格,以统一资源描述符(Uniform Resources Identifier)URI或者统一资源定位符(Uniform Resources Locator)U
vue+nginx 请求出现302_Nginx反向代理和负载均衡
weixin_39632057的博客
12-12 1457
Nginx这个话题其实困惑了我很久,纠结了很久才知道这个玩意到底怎么用,所以我这里准备来记录Nginx的简单实现反向代理和负载均衡,希望这个实际操作能让你初步对Nginx有一个大致的了解,知道为什么要用它,言归正传,下面我就先说说我的思路 首先这个实验是将Vue项目部署到nginx服务器,这篇干货没有那么多赘述的理论知识,但首先在看这篇文章之前你的知道nginx的基础配...
Nginx处理302定向端口丢失问题
postman的博客
12-30 6125
虚机内部通过Nginx当做静态资源服务器,监听80、443端口,而在虚机外层还有一个端口转发,但这个端口转发使用的并不是80,导致业务系统登录后重定向地址并没有加上8050端口,而是继续使用了默认的80端口导致了问题的出现。业务部署于Linux虚拟机中,域名解析到公网ip,公网ip的非标准端口映射虚机的标准端口。由于种种原因无法使用公网标准端口(80、443),只能使用非标准端口,公网端口8050到虚机80、公网端口8051到虚机443。此处test为我虚机上的tomcat8080端口下部署的项目名称。
nginx反向代理处理301、302跳转
热门推荐
闲人的专栏
12-16 1万+
nginx可以作为很好的反向代理工具,应用非常广泛 一般用来保护后方的服务器,避免直接被用户访问 如果后方服务器返回302,此时,如果不进行特殊处理,客户端也收到302,但是如果客户端访问不到内部的服务器就要让nginx主动跟随302的地址,把内容取给我们,这需要进行如下设置: server { ... location / { proxy_pass http://127.0.0.1:8081; proxy_intercept.
uni-app——一种通过Nginx反向代理处理302定向请求解决网络请求中无法获取Cookie的解决方案
无限迭代中......
05-19 2773
问题描述 小程序中不会自动保存和发送Cookie 使用插件(https://uniapp.dcloud.io/api/request/request)方法不能解决302定向情况下获取Cookie 小程序端经过分析无法实现,服务端亦无法修改(这既不能解决问题,也不能解决提出问题的人) 问题分析 配置一层Nginx。 处理302为200,并且继承Cookie。 解决方案 配置一层Nginx location /jwglxt { proxy_pass http://jwgl
nginx代理多次302nginx Follow 302
weixin_33757911的博客
04-12 3226
用proxy_intercept_errors和recursive_error_pages代理多次302302HTTP协议中的一个经常被使用状态码,是多种重定向方式的一种,其语义经常被解释为“Moved Temporarily”。这里顺带提一下,现实中用到的302多为误用(与303,307混用),在HTTP/1.1中,它的语义为“Found”.302有时候很明显,有时候又比...
nginx 80重定向https的8443端口,不想定向到443
最新发布
06-20
<think>我们遇到一个需求:将HTTP(80端口)的请求重定向HTTPS的8443端口(非默认443端口)。根据用户描述和引用内容,常规重定向到443端口的配置不适用,因为目标端口是8443。分析引用:引用[1]展示了常规80重定向到443的配置(使用rewrite指令)。引用[2]提供了一个实际案例:将8443端口的HTTPS请求重定向到443端口(注意这里是反向情况),同时包含80端口重定向到443的配置(使用if判断协议)。引用[3]展示了80端口重定向到443的标准配置(使用return指令)。目标需求:80端口重定向https://域名:8443配置关键点:1.在80端口的server块中,使用重定向指令(return或rewrite)指定目标URL为https://$host:8443$request_uri。2.注意:由于目标端口是非标准的8443,因此必须在重定向URL中显式指定端口号。配置示例:```nginx#HTTP80端口重定向HTTPS8443端口server{listen80;server_nameyourdomain.com;#替换为实际域名#方法1:使用return指令(推荐,效率更高)return301https://$host:8443$request_uri;#或方法2:使用rewrite指令(与引用[1]类似但端口不同)#rewrite^(.*)$https://$host:8443$1permanent;}#另外,需要有一个监听8443端口的HTTPSserver块来处理请求server{listen8443ssl;server_nameyourdomain.com;ssl_certificate/path/to/cert.pem;ssl_certificate_key/path/to/private.key;#...其他SSL配置和业务配置}```注意事项:1.确保在目标HTTPSserver块中正确配置了8443端口的监听(如上述第二个server块)。2.如果服务器防火墙或安全组设置限制了端口访问,请开放8443端口的入站访问。3.由于使用非标准端口,用户访问时必须携带端口号(如https://example.com:8443)。但通过重定向,用户只需输入http://example.com(或直接输入域名)即可自动跳转到https://example.com:8443。验证方法:使用curl命令试:```bashcurl-Ihttp://yourdomain.com```应返回类似以下响应头,其中Location字段应为https://yourdomain.com:8443/...:```HTTP/1.1301MovedPermanentlyServer:nginxLocation:https://yourdomain.com:8443/requested_uri...```补充说明:如果同时存在需要重定向到443端口的其他域名,可以配置多个server块,根据server_name区分。根据引用[2]中的配置,他们使用了不同的策略(将8443重定向到443,而80重定向到443)。但我们的需求正好相反(80重定向到8443),因此配置方向不同。引用参考:[1]使用rewrite指令实现80重定向到443(无端口号,默认443)[^1][2]展示了在非标准端口(8443)上监听HTTPS并重定向到标准端口(443)的配置,以及80重定向到443的配置[^2][3]使用return指令实现80重定向到443(标准方式)[^3]因此,我们调整重定向的目标URL,显式加入:8443端口即可满足需求。</think>### 配置Nginx将80端口重定向HTTPS 8443端口 根据您的需求,需要将HTTP(80端口)重定向HTTPS的**8443端口**(非默认443端口)。以下是完整解决方案: #### 📝 配置示例(nginx.conf) ```nginx # HTTP 80端口重定向HTTPS 8443端口 server { listen 80; server_name yourdomain.com; # 替换为您的域名 # 关键点:显式指定8443端口 return 301 https://$host:8443$request_uri; } # HTTPS 8443端口服务配置 server { listen 8443 ssl; # 监听8443端口 server_name yourdomain.com; ssl_certificate /path/to/fullchain.pem; # SSL证书路径 ssl_certificate_key /path/to/privkey.pem; # 私钥路径 # 其他SSL配置 ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers HIGH:!aNULL:!MD5; # ... 您的业务配置 } ``` #### 🔧 关键配置说明 1. **显式指定目标端口** ```nginx return 301 https://$host:8443$request_uri; ``` - `:8443` 明确指定重定向目标端口 - `$host` 变量自动获取请求域名 - `$request_uri` 保留原始请求路径和参数 2. **8443端口监听配置** ```nginx listen 8443 ssl; ``` - 必须确保Nginx监听8443端口的HTTPS请求 - 需要有效的SSL证书配置 3. **301永久重定向** 使用`301`状态码有利于SEO和浏览器缓存优化 #### ⚙️ 验证与试步骤 1. **检查配置语法** ```bash nginx -t ``` 2. **重载Nginx配置** ```bash systemctl reload nginx ``` 3. **试重定向效果** ```bash curl -I http://yourdomain.com ``` 应返回类似响应: ``` HTTP/1.1 301 Moved Permanently Location: https://yourdomain.com:8443/path ``` #### ⚠️ 注意事项 1. **防火墙设置** 确保服务器防火墙开放8443端口: ```bash ufw allow 8443/tcp ``` 2. **证书有效性** 确认SSL证书包含目标域名,且未过期 3. **浏览器缓存问题** 试时使用隐身模式或清除缓存 4. **多域名处理** 若需支持多个域名: ```nginx server { listen 80; server_name domain1.com domain2.com; return 301 https://$host:8443$request_uri; } ``` #### 💡 技术原理 当用户访问 `http://domain.com` 时: 1. 80端口的server块捕获请求 2. 返回301重定向响应头:`Location: https://domain.com:8443/path` 3. 浏览器自动向 `https://domain.com:8443` 发起新请求 4. 8443端口的server块处理HTTPS请求 > 配置参考: [^2] --- ###
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值