Nginx高级之高级模块(secure_link/secure_link_md5/geoip_module)

最新推荐文章于 2025-05-19 11:53:14 发布
原创 最新推荐文章于 2025-05-19 11:53:14 发布 · 1.7k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#Java #Nginx #secure_link模块

本文深入探讨了Nginx的secure_link和secure_link_md5模块,通过实例展示了如何生成和验证链接密钥,以保护资源免受未经授权的访问,并介绍了如何利用geoip模块进行IP地理位置识别。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

高级阶段回顾:

Nginx高级之Rewrite规则

secure_link/secure_link_md5模块

制定并允许检查请求的链接的真实性以保护资源免遭未授权的访问 / 限制链接生效的周期

安全模块应用场景模型

模块配置语法

systax: secure_link [表达式]

default: 无配置

context: http域/server域/location域

md5加密:

systax: secure_link_md5 [表达式]

default: 无配置

context: http域/server域/location域

下面做一个小测试

① 进入default.conf配置:

② 在其他目录下建立一个.sh文件, 内容如下(根据自己环境情况进行相应修改即可):

servername="192.168.19.136"
download_file="/download/testMD5.img"
time_num=$(date -d "2019-11-26 00:00:00" +%s)
secret_num="Milky-Way"

res=$(echo -n "${time_num}${download_file} ${secret_num}"|openssl md5 -binary | openssl base64 | tr +/ -_ | tr -d =)

echo "http://${servername}${download_file}?md5=${res}&expires=${time_num}"

③ 这个生成密钥的方式一般由后台生成, 这里采用自己写的这个.sh文件来生成密钥, 命令: sh [.sh文件的名称], 我这里是sh md5url.sh

生成的密钥: http://192.168.19.136/download/testMD5.img?md5=6sL9aEi50TlupLSLtX7jcA&expires=1574697600

④ 根据这个密钥来访问服务器

结果如下:

geoip模块

基于maxmind geoip的二进制文件, 读取ip所在地信息

需要安装geoip源: yum install nginx-module-geoip

查看是否安装完成:

使用场景

① 区别国内外的ip

② 区别城市间的ip

配置

安装yum源后, 进入nginx.conf, 手动引入geoip模块:

在配置default.conf之前需要先下载ip地域的文件, 利用.sh文件来下载, 在任意地方新建一个.sh文件, 内容如下:

wget http://geolite.maxmind.com/download/geoip/database/GeoLiteCountry/GeoIP.dat.gz
wget http://geolite.maxmind.com/download/geoip/database/GeoLiteCity.dat.gz

在目录下会生成2个.gz的文件, 我把它们拷贝至/etc/nginx/geoip目录下解压生成2个.dat文件

接下来进入default.conf配置: 在http域引入上面生成的2个.dat文件

在代理的情况下($geoip_country_code不为CN)访问nginx, 结果如下:

在无代理的情况下用本地ip($geoip_country_code为CN)访问nginx, 结果如下:

 

企业运维实践-Nginx使用geoip2模块并利用MaxMind的GeoIP2数据库实现处理不同国家或城市的访问最佳实践指南...
WeiyiGeek 唯一极客IT知识分享
08-07 1804
关注「WeiyiGeek」公众号设为「特别关注」每天带你玩转网络安全运维、应用开发、物联网IOT学习!本章目录:0x00 前言简述0x01 安装部署环境说明libmaxminddb 下载ngx_http_geoip2_module 下载Geoip2 模块编译动态链接库GeoLite2 数据库下载GeoLite2 数据库自动更新0x02 实践使用1.使用GeoIP2模块请求.........
nginx 基于 geoip 模块限制地区访问
2301_77081516的博客
12-29 1185
9、确保数据库文件存在,确保你下载的数据库文件 GeoLite2-Country.mmdb 正确放置在 /usr/share/GeoIP 目录下,并且该目录对 Nginx 有读取权限。11、编辑 nginx 配置文件,分别在 http 模块和 server 模块里面添加以下内容。6、上传nginx源码文件到 /opt 目录,并解压编译。可以看到,目前没有做地区限制,nginx是可以访问状态。接下来我们限制 中国、香港、澳门三个地区的访问。4、安装nginx,下载依赖包。10、启动 nginx 并且访问。
Laravel开发-nginx_secure_link
08-28
Laravel开发-nginx_secure_link nginx安全链接php包
12、Nginx高级高级模块(secure_link/secure_link_md5)
无痕的博客
06-14 3352
ngx_http_secure_link_module模块用于检查所请求链接的真实性,保护资源免受未经授权的访问,并限制链接寿命。
使用 NGINX 的 `ngx_http_secure_link_module` 模块保护资源链接
最新发布
hello.reader
05-19 1062
在实际生产环境中,我们常常需要对静态资源(如下载链接、视频流、图片)进行保护,防止链接被恶意盗链或超时使用。NGINX 提供了 `ngx_http_secure_link_module` 模块,可以通过校验请求中的签名和过期时间来实现链接的授权访问和时效控制。本文将带您深入了解该模块的两种工作模式,并给出完整配置示例。
使用Nginxsecure_link 模块保护资源的安全性
你知道莽村的莽怎么来的吗!
05-29 846
secure_link 模块允许创建安全链接,以确保只有经过授权的用户才能访问特定的资源。它通过在 URL 中添加签名参数来实现这一点,这些签名参数包含了对请求进行身份验证所必需的信息。通过 Nginx secure_link 模块,可以提高应用程序对资源访问的控制,防止未经授权的访问和盗链。这个模块不仅提供了基本的安全性保护,还可以根据需要进行高度定制,适应各种复杂的应用场景。希望本篇博客能帮助您更好地理解和使用 Nginx secure_link 模块,保护您的 Web 资源安全。
14. Nginx Secure Link
w7570061的博客
03-30 370
用于校验资源请求的合法性 server { listen 3300; server_name www.siguoya.name; root /usr/local/nginx/1.12.1/html; location / { secure_link $arg_md5,$arg_expires; ...
Nginx学习笔记——Secure_link模块
shen的博客
10-31 4798
作用 (1)指定并允许检查请求的链接的真实性以及保护资源免遭未经授权的访问 (2)限制链接生效周期 配置语法 Syntax:secure_link expression; Default:默认无 Context:http,server,location Syntax:secure_link_md5 expression; Default:默认无 Context:http,server,locat...
基于 OpenSSL 源码为 nginx 配置并安装 http_ssl_module
tobrainto
09-23 1702
基于 openssl 源码为 nginx 配置并安装 http_ssl_module
nginx模块解析
m0_55877125的博客
04-03 1150
nginx模块
企业运维实践-Nginx使用geoip2模块并利用MaxMind的GeoIP2数据库实现处理不同国家或城市的访问最佳实践指南
2401_89790938的博客
01-14 801
geoip2datacountrydefault中国sourcegeoip2_data_country "default=中国" source=geoip2d​atac​ountrydefault中国source# 中国# CN# 亚洲# AS# 浙江省# “ZJ”# 杭州。
nginx secure_link下载防盗链
weixin_34004750的博客
12-09 237
nginx secure_link下载防盗链下载服务器上有众多的软件资源, 可是很多来源不是本站,是迅雷、flashget, 源源不断的带宽,防盗链绝对是当务之急. 使用来源判断根本不靠谱,只能防止一些小白站点的盗链,迅雷之类的下载工具完全无效,如果你是nginx的话,使用secure link完美解决这个问题,远离迅雷.本文仅用于下载服务器,不适用于图片防盗链.安装ngin...
nginx(四十九)使用referer模块secure_link模块提供变量防盗链
wzj_110的博客
11-16 2266
nginx防盗链
nginx安装第三方模块file_md5
weixin_34123613的博客
02-24 197
HTTP协议新增了Content-MD5 HTTP头,但是nginx并不支持这个功能,而且官方也明确表示不会增加这项功能,为什么呢?因为每次请求都需要读取整个文件来计算MD5值,以性能著称的nginx绝对不愿意干出违背软件宗旨的事情。但是有些应用中,需要验证文件的正确性,有些人通过下载当前文件,然后计算MD5值来比对当前文件是否正确。不仅仅浪费带宽资源也浪费了大把的时间。有需求就有解决方案,网友开...
Nginx--secure_linkgeoip_module
Chasing__Dreams的博客
11-05 266
secure_link_module 1、 指定并允许检查请求的连接的真实性以及保护资源免遭未经授权的访问。 限制连接生效 2、secure_link_module配置语法 示例: geoip_module 1、 基于IP地址匹配MaxMindGeoIP二进制文件,读取IP所在地域信息。 yum install nginx-module-geoip 2、使用场景 区别国内外作http访...
Nginx secure_link防盗链模块
天行健,君子以自强不息;地势坤,君子以厚德载物。
04-03 269
Nginxngx_http_secure_link_module模块能够检查请求链接的权限以及是否过期,多用于下载服务器防盗链。原理1)加密串与过期时间作为url中的参...
如何用Nginx为自己的网站资源加上防盗链保护?Referer or secure_link
StoNENee的博客
05-19 2041
使用Nginx的Referer和secure_link为自己的网站资源加上防盗链保护?
使用nginx secure_link指令实现下载防盗链
weixin_34362991的博客
04-06 307
一、安装nginx并检查是否已安装模块 [root@img_server ~]# nginx -V #输出nginx所有已安装模块,检查是否有ngx_http_secure_link_module 二、配置nginx [root@img_server ~]# vim /etc/nginx/conf.d/dowm_img_safe.conf server { ...
ngx_stream_geoip2_module 怎么部署
02-27
### 配置 Nginx 使用 `ngx_stream_geoip2_module` 模块 #### 安装依赖项 为了成功编译和运行 `ngx_stream_geoip2_module`,需要先安装必要的开发工具和库文件。这通常包括 MaxMind 的数据库支持库。 ```bash yum install libmaxminddb-devel -y ``` #### 下载并准备模块源码 获取最新的 `ngx_http_geoip2_module` 和 `ngx_stream_geoip2_module` 源代码: ```bash cd /usr/local/src/ git clone https://github.com/leev/ngx_http_geoip2_module.git ``` 注意:虽然这里提到的是 `ngx_http_geoip2_module`,但是 GitHub 上该项目也包含了流模式的支持即 `ngx_stream_geoip2_module`. #### 编译安装 NGINX 并添加自定义模块 在编译 NGINX 之前,确保已经下载了官方发布的稳定版本,并将其解压缩到合适的位置。接着,在配置阶段通过命令行参数指定要加入的新功能模块路径。 ```bash tar -zxvf nginx-1.20.1.tar.gz cd nginx-1.20.1/ ./configure \ --with-stream \ --add-dynamic-module=../ngx_http_geoip2_module \ --prefix=/etc/nginx \ --sbin-path=/usr/sbin/nginx \ --modules-path=/usr/lib/nginx/modules \ --conf-path=/etc/nginx/nginx.conf \ --error-log-path=/var/log/nginx/error.log \ --http-log-path=/var/log/nginx/access.log \ --pid-path=/var/run/nginx.pid \ --lock-path=/var/run/nginx.lock \ --http-client-body-temp-path=/var/cache/nginx/client_temp \ --http-proxy-temp-path=/var/cache/nginx/proxy_temp \ --http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp \ --http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp \ --http-scgi-temp-path=/var/cache/nginx/scgi_temp \ --user=nginx \ --group=nginx \ --with-compat \ --with-file-aio \ --with-http_ssl_module \ --with-http_v2_module \ --with-http_realip_module \ --with-http_addition_module \ --with-http_xslt_module=dynamic \ --with-http_image_filter_module=dynamic \ --with-http_geoip_module=dynamic \ --with-http_sub_module \ --with-http_dav_module \ --with-http_flv_module \ --with-http_mp4_module \ --with-http_gunzip_module \ --with-http_gzip_static_module \ --with-http_random_index_module \ --with-http_secure_link_module \ --with-http_degradation_module \ --with-http_slice_module \ --with-http_stub_status_module \ --with-mail=static \ --with-mail_ssl_module \ --with-pcre \ --with-pcre-jit \ --with-stream=dynamic \ --with-stream_ssl_module \ --with-stream_realip_module \ --with-stream_geoip_module=dynamic \ --with-stream_ssl_preread_module \ --with-debug make && make install ``` 上述过程会将 `ngx_stream_geoip2_module` 动态加载至 NGINX 中[^3]。 #### 获取 IP 地理位置数据集 (MaxMind DB 文件) 从官方网站或其他可信资源处获得最新版的 GeoLite2 数据包,并按照说明放置于适当位置供 NGINX 访问。 ```bash mkdir -p /etc/nginx/geoip cd /tmp wget https://download.maxmind.com/app/geoip_download?edition_id=GeoLite2-City&license_key=YOUR_LICENSE_KEY&suffix=tar.gz tar xf geoip_download\?edition_id\=GeoLite2-City* -C /etc/nginx/geoip --strip-components=1 ``` 请注意替换 URL 参数中的 `YOUR_LICENSE_KEY` 为你自己的许可证密钥[^2]。 #### 修改 NGINX 配置以启用 Stream GeoIP 支持 编辑 `/etc/nginx/nginx.conf` 或者相应的虚拟主机配置文件来引入新的指令用于处理 TCP/UDP 请求的同时解析客户端的真实地理位置信息。 ```nginx stream { upstream backend { server 192.168.1.1:80; } map $remote_addr $country_code { default "unknown"; include /etc/nginx/geoip/country.map; # 自定义映射表可选 } log_format stream_combined '$remote_addr [$time_local] ' '"$protocol $status" $bytes_sent "$upstream_addr"' ' country=$country_code'; access_log /var/log/nginx/stream-access.log stream_combined; server { listen 12345; proxy_pass backend; geoip2 /etc/nginx/geoip/GeoLite2-City.mmdb { auto_load on; $city city.names.en; $country_code country.iso_code; } set $allowed_countries "CN US CA"; # 允许访问的国家列表 if ($country_code !~* ^($allowed_countries)$ ) { return 503; } } } ``` 此段配置实现了基于地理区域限制服务可用性的基本逻辑,仅当请求来自特定几个允许的国家时才转发流量给后端服务器;否则返回 HTTP 503 错误响应表示暂时不可用[^4]。
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值