Nginx 配置指令的执行顺序(十一)11个阶段END (转载)

本文详细介绍了 Nginx 中 try_files 指令的工作原理及使用方法,包括如何根据文件系统对象的存在与否有条件地重写请求 URI 或触发内部跳转。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

转载自 http://blog.sina.com.cn/openresty

 

紧跟在 post-access 阶段之后的是 try-files 阶段。这个阶段专门用于实现标准配置指令 try_files 的功能,并不支持 Nginx 模块注册处理程序。由于 try_files 指令在许多 FastCGI 应用的配置中都有用到,所以我们不妨在这里简单介绍一下。

 

    try_files 指令接受两个以上任意数量的参数,每个参数都指定了一个 URI. 这里假设配置了 N 个参数,则 Nginx 会在 try-files 阶段,依次把前 N-1 个参数映射为文件系统上的对象(文件或者目录),然后检查这些对象是否存在。一旦 Nginx 发现某个文件系统对象存在,就会在 try-files 阶段把当前请求的 URI 改写为该对象所对应的参数 URI(但不会包含末尾的斜杠字符,也不会发生 “内部跳转”)。如果前 N-1 个参数所对应的文件系统对象都不存在,try-files 阶段就会立即发起“内部跳转”到最后一个参数(即第 N 个参数)所指定的 URI.

 

    前面在 (六) 和 (七) 中已经看到静态资源服务模块会把当前请求的 URI 映射到文件系统,通过 root 配置指令所指定的“文档根目录”进行映射。例如,当“文档根目录”是 /var/www/ 的时候,请求 URI /foo/bar 会被映射为文件 /var/www/foo/bar,而请求 URI /foo/baz/ 则会被映射为目录 /var/www/foo/baz/. 注意这里是如何通过 URI 末尾的斜杠字符是否存在来区分“目录”和“文件”的。我们正在讨论的 try_files 配置指令使用同样的规则来完成其各个参数 URI 到文件系统对象的映射。

 

    不妨来看下面这个例子:

    root /var/www/;

 

    location /test {

        try_files /foo /bar/ /baz;

        echo "uri: $uri";

    }

 

    location /foo {

        echo foo;

    }

 

    location /bar/ {

        echo bar;

    }

 

    location /baz {

        echo baz;

    }

这里通过 root 指令把“文档根目录”配置为 /var/www/,如果你系统中的 /var/www/ 路径下存放有重要数据,则可以把它替换为其他任意路径,但此路径对运行 Nginx worker 进程的系统帐号至少有可读权限。我们在 location /test 中使用了 try_files 配置指令,并提供了三个参数,/foo、/bar/ 和 /baz. 根据前面对 try_files 指令的介绍,我们可以知道,它会在 try-files 阶段依次检查前两个参数 /foo 和 /bar/ 所对应的文件系统对象是否存在。

 

    不妨先来做一组实验。假设现在 /var/www/ 路径下是空的,则第一个参数 /foo 映射成的文件 /var/www/foo 是不存在的;同样,对于第二个参数 /bar/ 所映射成的目录 /var/www/bar/ 也是不存在的。于是此时 Nginx 会在 try-files 阶段发起到最后一个参数所指定的 URI(即 /baz)的“内部跳转”。实际的请求结果证实了这一点:

    $ curl localhost:8080/test

    baz

显然,该请求最终和 location /baz 绑定在一起,执行了输出 baz 字符串的工作。上例中定义的 location /foo 和 location /bar/ 完全不会参与这里的运行过程,因为对于 try_files 的前 N-1 个参数,Nginx 只会检查文件系统,而不会去执行 URI 与 location 之间的匹配。

 

    对于上面这个请求,Nginx 会产生类似下面这样的“调试日志”:

    $ grep trying logs/error.log

    [debug] 3869#0: *1 trying to use file: "/foo" "/var/www/foo"

    [debug] 3869#0: *1 trying to use dir: "/bar" "/var/www/bar"

    [debug] 3869#0: *1 trying to use file: "/baz" "/var/www/baz"

通过这些信息可以清楚地看到 try-files 阶段发生的事情:Nginx 依次检查了文件 /var/www/foo 和目录 /var/www/bar,末了又处理了最后一个参数 /baz. 这里最后一条“调试信息”容易产生误解,会让人误以为 Nginx 也把最后一个参数 /baz 给映射成了文件系统对象进行检查,事实并非如此。当 try_files 指令处理到它的最后一个参数时,总是直接执行“内部跳转”,而不论其对应的文件系统对象是否存在。

 

    接下来再做一组实验:在 /var/www/ 下创建一个名为 foo 的文件,其内容为 hello world(注意你需要有 /var/www/ 目录下的写权限):

    $ echo 'hello world' > /var/www/foo

然后再请求 /test 接口:

    $ curl localhost:8080/test

    uri: /foo

这里发生了什么?我们来看,try_files 指令的第一个参数 /foo 可以映射为文件 /var/www/foo,而 Nginx 在 try-files 阶段发现此文件确实存在,于是立即把当前请求的 URI 改写为这个参数的值,即 /foo,并且不再继续检查后面的参数,而直接运行后面的请求处理阶段。

 

    上面这个请求在 try-files 阶段所产生的“调试日志”如下:

    $ grep trying logs/error.log

    [debug] 4132#0: *1 trying to use file: "/foo" "/var/www/foo"

显然,在 try-files 阶段,Nginx 确实只检查和处理了 /foo 这一个参数,而后面的参数都被“短路”掉了。

 

    类似地,假设我们删除刚才创建的 /var/www/foo 文件,而在 /var/www/ 下创建一个名为 bar 的子目录:

    $ mkdir /var/www/bar

则请求 /test 的结果也是类似的:

    $ curl localhost:8080/test

    uri: /bar

在这种情况下,Nginx 在 try-files 阶段发现第一个参数 /foo 对应的文件不存在,就会转向检查第二个参数对应的文件系统对象(在这里便是目录 /var/www/bar/)。由于此目录存在,Nginx 就会把当前请求的 URI 改写为第二个参数的值,即 /bar(注意,原始参数值是 /bar/,但 try_files 会自动去除末尾的斜杠字符)。

 

    这一组实验所产生的“调试日志”如下:

    $ grep trying logs/error.log

    [debug] 4223#0: *1 trying to use file: "/foo" "/var/www/foo"

    [debug] 4223#0: *1 trying to use dir: "/bar" "/var/www/bar"

我们看到,try_files 指令在这里只检查和处理了它的前两个参数。

 

    通过前面这几组实验不难看到,try_files 指令本质上只是有条件地改写当前请求的 URI,而这里说的“条件”其实就是文件系统上的对象是否存在。当“条件”都不满足时,它就会无条件地发起一个指定的“内部跳转”。当然,除了无条件地发起“内部跳转”之外,try_files 指令还支持直接返回指定状态码的 HTTP 错误页,例如:

    try_files /foo /bar/ =404;

这行配置是说,当 /foo 和 /bar/ 参数所对应的文件系统对象都不存在时,就直接返回 404 Not Found 错误页。注意这里它是如何使用等号字符前缀来标识 HTTP 状态码的。

Nginx配置 SSL 证书链是确保 HTTPS 连接完整性和安全性的重要步骤。当服务器配置了中间证书时,必须将完整的证书链(包括服务器证书、中间证书和根证书)正确加载,以避免客户端在验证证书链时出现错误,如“证书不受信任”或“证书链不完整”。 ### 3.1 配置 SSL 证书链的结构 在配置文件中,需要使用 `ssl_certificate` 指令指定服务器证书和中间证书合并后的文件。通常,该文件是将服务器证书(`.crt` 或 `.pem`)与中间证书(CA 提供的中间链证书)拼接而成的。例如: ```nginx server { listen 443 ssl; server_name example.com; ssl_certificate /etc/nginx/ssl/example.com.fullchain.pem; ssl_certificate_key /etc/nginx/ssl/example.com.key; ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers HIGH:!aNULL:!MD5; ssl_prefer_server_ciphers on; ... } ``` 其中,`example.com.fullchain.pem` 文件的内容由服务器证书和中间证书组成,顺序如下: ``` -----BEGIN CERTIFICATE----- # 服务器证书(Server Certificate) -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- # 中间证书(Intermediate CA Certificate) -----END CERTIFICATE----- ``` 这样配置后,Nginx 会将完整的证书链发送给客户端,确保浏览器可以正确验证整个证书路径[^2]。 ### 3.2 使用 `ssl_trusted_certificate` 指定信任链 如果需要 Nginx 在验证客户端证书时使用特定的 CA 证书,可以使用 `ssl_trusted_certificate` 指令指定信任的根证书或中间证书文件。该文件应包含所有信任的 CA 证书,并以 PEM 格式存储: ```nginx ssl_trusted_certificate /etc/nginx/ssl/trusted-ca.crt; ``` 该配置项在启用客户端证书认证(Mutual TLS)时尤为重要,用于确保客户端证书由受信任的 CA 签发[^2]。 ### 3.3 完整的 SSL 配置示例 以下是一个典型的 Nginx SSL 配置示例,包含完整的证书链、加密套件和协议版本设置: ```nginx server { listen 443 ssl; server_name example.com; ssl_certificate /etc/nginx/ssl/example.com.fullchain.pem; ssl_certificate_key /etc/nginx/ssl/example.com.key; ssl_trusted_certificate /etc/nginx/ssl/trusted-ca.crt; ssl_session_timeout 5m; ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4; ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3; ssl_prefer_server_ciphers on; add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always; location / { ... } } ``` 此配置确保了证书链的完整性、安全的加密协议和套件,并启用了 HSTS(HTTP Strict Transport Security)以增强安全性。 ### 3.4 证书链验证与调试 在部署前,应使用 `openssl` 命令验证证书链是否完整: ```bash openssl verify -CAfile /etc/nginx/ssl/trusted-ca.crt -untrusted /etc/nginx/ssl/example.com.fullchain.pem /etc/nginx/ssl/example.com.crt ``` 若输出为 `example.com.crt: OK`,则表示证书链验证通过。 此外,可以使用 `openssl s_client` 命令连接服务器并查看返回的证书链: ```bash openssl s_client -connect example.com:443 -showcerts ``` 这有助于确认客户端是否接收到完整的证书链,并识别配置错误或缺失的中间证书。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值