nginx+lua(openresty)实现黑/白名单权限控制

原创 已于 2022-01-19 09:42:07 修改 · 4.9k 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#lua #nginx #openresty #权限控制

于 2022-01-18 17:22:39 首次发布
本文介绍使用OpenResty实现动态权限控制的方法,包括通过定时器定期获取黑名单数据,并利用Lua脚本进行权限验证。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

        openresty在nginx基础上集成了很多功能,比如可以直接调用redis,mysql,http接口等服务,比较流行的网关kong就是通过openresty实现的。日常开发和运维离不开nginx,实现稍微复杂的功能:简单权限控制,灰度发布等就可以通过openresty实现。

        本文通过openresty定时器定期请求http接口获取更新的黑名单数据,过滤用户并做进一步的判断(结合实际的业务需求)进行权限管控。话不多说,直接上nginx.conf代码如下。

user  root;
worker_processes  auto;
worker_cpu_affinity auto;

error_log  logs/error.log  error;
worker_rlimit_nofile 30000;
pid        logs/nginx.pid;
events {
    use epoll;
    worker_connections  65535;
}

http {
   #include       mime.types;
    default_type  application/octet-stream;
    sendfile    on;
    tcp_nopush  on;
    server_tokens off;
    underscores_in_headers on;
    keepalive_timeout  10;
    send_timeout 60;
    include /usr/local/nginx/conf/online/*.conf;
    #下面四行和lua相关,重点看一下
    lua_shared_dict portalCache 10m;#多进程共享内存变量
    lua_shared_dict commonCache 1m;
    init_by_lua_file /home/www/example/lua/api_init.lua;#初始化全局变量
    init_worker_by_lua_file /home/www/example/lua/api_timer.lua; #启动定时器定期调用接口
    upstream portalBackend {
        server xxx weight=3;
        server xxx weight=1;
    }
    upstream labelBackend {
        server xxx;
        server xxx;
    }
    upstream portalBackendOnQlikTicket {
       server xxx;
       server xxx;
    }
    upstream portalClient {
        server xxx;
        server xxx;
    }
    upstream portalAdmin {
        server xxx;
        server xxx;
    }
    upstream labelFrontend {
        server xxx;
        server xxx;
    }
    upstream bigScreen {
        server xxx;
        server xxx;
    }
    upstream mobile {
        server xxx;
        server xxx;
    }
    upstream portalMobile {
        server xxx;
        server xxx;
    }

    server {
        listen       80;
        server_name  localhost hportal-uat.hikvision.com.cn;

        #charset koi8-r;

        #access_log  logs/host.access.log  main;
        location / {
                proxy_pass http://portalClient;
                proxy_redirect    off;
                proxy_set_header  Host $host;
                proxy_set_header  X-real-ip $remote_addr;
                proxy_set_header  X-Forwarded-For $proxy_add_x_forwarded_for;

            add_header Access-Control-Allow-Origin *;
            add_header Access-Control-Allow-Methods 'GET, POST, PUT, DELETE, OPT                                                                             IONS';
            add_header Access-Control-Allow-Credentials 'true';
            add_header Access-Control-Allow-Headers 'DNT,X-Mx-ReqToken,Keep-Aliv                                                                             e,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type,Autho                                                                             rization,Origin,Accept';
        }
        location /ptclient {
                proxy_pass http://portalClient/ptclient;
                proxy_redirect    off;
                proxy_set_header  Host $host;
                proxy_set_header  X-real-ip $remote_addr;
                proxy_set_header  X-Forwarded-For $proxy_add_x_forwarded_for;
                    add_header Access-Control-Allow-Origin *;
            add_header Access-Control-Allow-Methods 'GET, POST, PUT, DELETE, OPT                                                                             IONS';
            add_header Access-Control-Allow-Credentials 'true';
            add_header Access-Control-Allow-Headers 'DNT,X-Mx-ReqToken,Keep-Aliv                                                                             e,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type,Autho                                                                             rization,Origin,Accept';
        }
        location /ptadmin {
                proxy_pass http://portalAdmin/ptadmin;
                proxy_redirect    off;
                proxy_set_header  Host $host;
                proxy_set_header  X-real-ip $remote_addr;
                proxy_set_header  X-Forwarded-For $proxy_add_x_forwarded_for;
        }

        location /api/ {
         #...............error.log......notice
                rewrite_log on;
        #...............
                rewrite ^/api/(.*)$ /$1 break;
                proxy_pass http://portalBackend;
                proxy_http_version 1.1;
                proxy_redirect    off;
                proxy_set_header  Host $host;
                proxy_set_header Origin '';
                proxy_set_header  X-real-ip $remote_addr;
                proxy_set_header  X-Forwarded-For $proxy_add_x_forwarded_for;
                proxy_set_header Upgrade $http_upgrade;
                proxy_set_header Connection "upgrade";
                add_header Access-Control-Allow-Origin *;
                add_header Access-Control-Allow-Methods 'GET, POST, PUT, DELETE,                                                                              OPTIONS';
                add_header Access-Control-Allow-Credentials 'true';
                add_header Access-Control-Allow-Headers 'DNT,X-Mx-ReqToken,Keep-                                                                             Alive,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type,A                                                                             uthorization,Origin,Accept';
        }

	location /api/checkVmPermission {
            default_type text/html;
            access_by_lua_file /home/www/example/lua/api_access.lua;
        }

	location /api/test {
		content_by_lua_block {
			local portalCache = ngx.shared.portalCache;
			ngx.say(portalCache:get("userAccountList"))
		}
	}

        location @router{
            rewrite ^.*$ /index.html last;
        }
        error_page   500 502 503 504  /50x.html;
        location = /50x.html {
            root   html;
        }
    }
}

#上述代码段中的接口只需要关注 /api/checkVmPermission和/api/test 即可。

        api_init.lua代码如下所示:

json = require "cjson.safe"
http = require("resty.http")
interval = 60
portalCache = ngx.shared.portalCache
ipList = {"xxx.xxx.xxx.xxx","xxx.xxx.xxx.xxx"......}
portalCache:set("flag", true)
portalCache:set("ipList", json.encode(ipList))

        api_timer.lua代码如下所示:

local function newClient()
	local httpC = http.new()
        return httpC
end
local handler = function (premature)	
    local httpc = newClient()
    local resp,err = httpc:request_uri("http://10.10.10.10:8080", {
        method = "GET",
        path = "/xxx/xxx",
		--请求的校验字段
        headers = {
                ["VM_HEADER"] = "xxxxx"
        }
    })
	--array为类型table,需要序列化之后才能存入portalCache
    local array = json.decode(resp.body).data
    portalCache:set("userAccountList", json.encode(array))
end
--只有一个进程负责定时任务
if 0 == ngx.worker.id() then
    local ok, err = ngx.timer.every(interval, handler)
    if not ok then
       log(ERR, "failed to get userAccountList: ", err)
       return
    end
end

        api_access.lua代码如下所示:

function account_is_include(value, tab)
    --string 转table
   local table = json.decode(tab)
   for k,v in ipairs(table) do
      if string.lower(v) == string.lower(value) then
           return true
       end
    end
    return false
end

function ip_is_include(value, tab)
   for k,v in ipairs(tab) do
      if string.find(value, v) ~= nil then
           return true
      end
   end
   return false
end

local function newClient()
        local httpC = http.new()
        return httpC
end
local handler = function (premature)
    local httpc = newClient()
    local resp,err = httpc:request_uri("http://xx.xx.xx.xx:xxxx", {
        method = "GET",
        path = "/xxx/xxx",
        headers = {
                ["VM_HEADER"] = "xxx"
        }
    })
    local array = json.encode(json.decode(resp.body).data)
    portalCache:set("userAccountList", array)
end
--nginx启动时先调用一次
if portalCache:get("flag") then
   portalCache:set("flag", false)
   handler()
end

check_userAccount = portalCache:get("userAccountList")
check_ip = json.decode(portalCache:get("ipList"))
if nil == check_userAccount or nil == check_ip then
   return ngx.exit(500)
end

local headers = ngx.req.get_headers()
local userAccount = headers["userAccount"]
if userAccount == nil then
   return ngx.exit(401)
end
if account_is_include(userAccount, check_userAccount) then
    local clientIP = headers["x-forwarded-for"]
    if clientIP == nil or string.len(clientIP) == 0 or clientIP == "unknown" then
      	 clientIP = headers["Proxy-Client-IP"]
    end
    if clientIP == nil or string.len(clientIP) == 0 or clientIP == "unknown" then
         clientIP = headers["WL-Proxy-Client-IP"]
    end
    if clientIP == nil or string.len(clientIP) == 0 or clientIP == "unknown" then
         clientIP = ngx.var.remote_addr    
    end
        -- ...............IP......IP,..IP..','..
    if clientIP ~= nil and string.len(clientIP) >15  then
         local pos  = string.find(clientIP, ",", 1)
       	 clientIP = string.sub(clientIP,1,pos-1)
    end
    if clientIP == nil then
	return ngx.exit(500)
    end
    if ip_is_include(clientIP, check_ip) then
	return ngx.say(userAccount .. " " .. "Welcome to Hportal! (VM-IP:" .. clientIP ..")")
    else
        ngx.status = 403
        ngx.say("Error! Restricted permissions! Your IP is " .. clientIP .. ". Make sure your IP is within this range: " .. json.encode(check_ip))
    end
else
   ngx.say(userAccount .. " " .. "Welcome to Hportal!")
end

最后实现效果如下所示:

 

常见问题汇总:

1.init_worker_by_lua_file error: /usr/local/openresty/lualib/resty/http.lua:133: API disabled in the context of init_worker_by_lua*
stack traceback:
        [C]: in function 'ngx_socket_tcp'
        /usr/local/openresty/lualib/resty/http.lua:133: in function 'new'
        /home/www/example/lua/api_timer.lua:6: in function 'newClient'
        /home/www/example/lua/api_timer.lua:21: in function 'getUserAccountTask'
        /home/www/example/lua/api_timer.lua:35: in main chunk

答:在init_worker_by_lua...中不能直接调报表http的函数,必须在定时器里面调用。

2.json.decode(resp.body).data (table类型)无法直接放入公共缓存变量的value中

答:set时需要将table转为string,get时再转为table。

3. 如何访问http接口

答:推荐使用httpc,openresty本身不支持,需要在/usr/local/openresty/lualib/resty目录下引入以下三个文件:https://github.com/ledgetech/lua-resty-http/tree/master/lib/resty

4.如何获取请求真实ip地址?(openresty(nginx)中使用lua脚本获取请求IP地址的代码 - 小勇DW3 - 博客园

local headers=ngx.req.get_headers()
local clientIP = headers["x-forwarded-for"]
if clientIP == nil or string.len(clientIP) == 0 or clientIP == "unknown" then
      clientIP = headers["Proxy-Client-IP"]
end
if clientIP == nil or string.len(clientIP) == 0 or clientIP == "unknown" then
      clientIP = headers["WL-Proxy-Client-IP"]
end
if clientIP == nil or string.len(clientIP) == 0 or clientIP == "unknown" then
      clientIP = ngx.var.remote_addr    
end
-- 对于通过多个代理的情况,第一个IP为客户端真实IP,多个IP按照','分割
if clientIP ~= nil and string.len(clientIP) >15  then
      local pos  = string.find(clientIP, ",", 1)
      clientIP = string.sub(clientIP,1,pos-1)
end

lgq2016
关注
使用NGINX+Openresty实现WAF功能
reblue520的专栏
05-05 1681
使用NGINX+Openresty实现WAF功能 一、了解WAF1.1 什么是WAF Web应用防护系统(也称:网站应用级入侵防御系统 。英文:Web Application Firewall,简称: WAF)。利用国际上公认的一种说法:Web应用 防火墙 是通过执行一系列针对HTTP/HTTPS的 安全策略 来专门为Web应用提供保护的一款产品。 1.2 WAF的功能 支持IP...
基于openresty实现IP白名单+时间段访问控制
weixin_45745503的博客
08-22 812
这个配置主要实现的功能就是,拦截非白名单用户访问服务,并且除健康检查外,拒绝11:00~19:00以外的所有请求进来。代码里面还有一些小遐思,比如IPv4和v6地址的检测,如有好办法大家可以讨论讨论,如果有什么问题大家也可以帮忙指出,一起学习。
openresty+lua+redis把非正常访问的域名加入名单
最新发布
龙哥·三年风水从2011年开始做IT工作,从ps画图到前端开发->后端开发->框架开发->业务架构设计及开发->业务需求整理、开发->技术经理->技术总监
05-27 608
openresty+lua+redis把非正常访问的域名加入名单
java 权限url权限_通过lua进行nginx权限控制
weixin_39885067的博客
11-20 284
nginx_lua的安装nginx使用luajit进行编译安装使用openresty进行yum安装openresty中将luanginx进行封装,详情可查看openresty官网openresty相关启动命令service openresty startngx_lua的相关api使用说明及相关使用ngx_lua github地址lua基本语法openrestry最佳实践ngx_lua的日常使用场...
Openresty名单过滤
小丑鱼的专栏
01-17 1445
有些时候在你配置nginx的时候可能需要做一些名单拦截的操作,设置名单,拦截存在这个名单中的url,使用openresty很方便,使用lua代码在access_by_lua*的过程中添加过滤代码即可实现实现这个功能需要以下几步操作。
openresty 动态白名单
weixin_43931625的博客
08-01 1054
openresty 动态白名单
权限管理系统-02-1-openrsty
weixin_42146054的博客
11-30 458
这样,Web 开发人员和系统工程师可以使用 Lua 脚本语言调动 Nginx 支持的各种 C 以及 Lua 模块,快速构造出足以胜任 10K 乃至 1000K 以上单机并发连接的高性能 Web 应用系统。OpenResty 的目标是让你的Web服务直接跑在 Nginx 服务内部,充分利用 Nginx 的非阻塞 I/O 模型,不仅仅对 HTTP 客户端请求,甚至于对远程后端诸如 MySQL、PostgreSQL、Memcached 以及 Redis 等都进行一致的高性能响应。
【后端】Nginx+lua+OpenResty高性能实践
qq_26127905的博客
06-24 954
证书可以明确的记录证书颁发机构的信息,证书使用者的相。关信息,从而接受者接收到证书,对证书信息通过公钥进行。可以对身份进行验证,密钥对存在漏洞,客可以伪装。第三方证书,证书通过加密算法对内容进行加密,并且。为发送者,生成密钥对,发送给接受者。验证,能够识别真实的发布者身份。指定加密后的文件的存放位置。自动插入一个随机数到文件中。指定要加密的文件的路径。# 根据生成对应公钥。
Nginx+lua+OpenResty高性能实践
07-09
Nginx+lua+OpenResty高性能实践 高性能 处理高并发能力上很强 高扩展性 Nginx模块化,官方提供了多元化的模块。 高可用性 三个9 99.9% 四个9 99.99% 热部署(版本平滑升级) 服务进行升级的同时,保证业务 不宕机 ...
Nginx利用Lua+Redis实现动态封禁IP的方法
01-10
一、背景 我们在日常维护网站中,经常会遇到这样一个需求,为了...2、在 Web Server 层面,通过 Nginx 自身的 deny 选项 或者 lua 插件 配置 IP 名单; 3、在应用层面,在请求服务之前检查一遍客户端 IP 是否在名单
OpenResty+nginx+Lua脚本+mysql 实现首页广告缓存的载入与读取
m0_37452861的博客
05-09 570
一、OpenResty介绍 OpenResty(又称:ngx_openresty) 是一个基于 nginx的可伸缩的 Web 平台,由中国人章亦春发起,提供了很多高质量的第三方模块。 OpenResty 是一个强大的 Web 应用服务器,Web 开发人员可以使用 Lua 脚本语言调动 Nginx 支持的各种 C 以及 Lua 模块,更主要的是在性能方面,OpenResty可以 快速构造出足以胜任 10K 以上并发连接响应的超高性能 Web 应用系统。 360,UPYUN,阿里云,新浪,腾讯网,去哪儿网,酷狗
nginx+lua+redis 集群 连接插件和脚本
12-09
在构建高性能、高可用性的Web服务时,常常会利用到Nginx作为反向代理和负载均衡器,Lua作为扩展Nginx功能的脚本语言,而Redis则作为内存数据存储,提供快速的数据访问。本资源包“nginx+lua+redis集群 连接插件和...
通过lua进行nginx权限控制
weixin_34087503的博客
03-01 880
nginx_lua的安装 nginx使用luajit进行编译安装 使用openresty进行yum安装 openresty中将luanginx进行封装,详情可查看openresty官网 openresty相关启动命令service openresty start ngx_lua的相关api使用说明及相关使用 ngx_lua github地址 lua基本语法 openrestry最佳实践 ...
openresty安全机制-白名单
龙哥·三年风水从2011年开始做IT工作,从ps画图到前端开发->后端开发->框架开发->业务架构设计及开发->业务需求整理、开发->技术经理->技术总监
08-08 1923
web发布之openresty-openresty安全配置(白名单)-centos7
nginx + lua 白名单机制
jovisoft的专栏
07-14 3068
webshell 都有一个特点,几乎都是通过POST来进行功能的操作。 无论是 简单的 “一句话”webshell 还是 类似 phpspy 之类的。 当我们开启了POST白名单。那么没有通过我们认证的POST 都是不允许通过的,从而可以防止线上已经存在的 或 新上传的 webshell。 belial waf 白名单配置: 1、 nginx.conf 设置 在 http 节 添加
基于openresty的动态白名单和限流
qq_45776114的博客
05-27 398
目标: 基于nginx和redis实现动态白名单 + 限流处理。实现: 利用nginxlua脚本模块和 redis执行lua脚本时原子性特性实现
Nginx+Lua实现动态名单
祈雨v的博客
12-23 5984
介绍 通过nginx+lua+redis可以实现nginx动态从redis读取需要拒绝的ip名单列表,并拒绝名单ip的访问请求。 其中redis中的ip名单列表既可以人工后台手动添加,也可以用类似logstash+elasticsearch的组合,实现logstash实时读取nginx的访问日志access.log,elasticsearch储存并聚合访问日志中的访问记录,再由一个分析程序定...
Nginx+Lua OpenResty环境搭建
BlackMoon
03-25 441
目录前言一、OpenResty运行环境搭建二、nginx+lua开发环境配置三、Hello world四、nginx+lua项目构建 前言 OpenResty是一款基于Nginx的高性能负载均衡服务器容器,简单来说是Nginx+Lua。结合了Lua语言来对Nginx进行扩展,使得在Nginx上具有web容器功能。 一、OpenResty运行环境搭建 Centos7安装编译所需要的环境: yum install readline-devel pcre-devel openssl-devel gc 如果
Openresty实现名单
y1054765649的博客
08-03 967
首先先简要介绍下OpenrestyOpenresty可以让开发人员使用Lua编程语言对nginx核心以及现有的各种Nginx C模块进行脚本编程,构建出一个高性能的Web应用。Openresty分为4个大阶段,包括Initialization Phase,Rewrite/Access Phase,Content Phase以及Log Phase,每个阶段的功能见下表1,而这四个大阶段又可分为11个小阶段,如下表2所示。 表1 Openrety的四个大阶段 阶段 功能 Initializati
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值