nginx之proxy_pass代理后端https请求完全拆解 原

最新推荐文章于 2025-04-08 16:43:16 发布
最新推荐文章于 2025-04-08 16:43:16 发布
阅读量3.1w 收藏 24
点赞数 3
分类专栏: nginx
本文详细介绍了如何在Nginx中配置proxy_pass代理以支持与后端服务器的HTTPS通信,包括获取SSL证书、配置Nginx及后端服务器、设置客户端证书、启用SSL协议和算法优化等步骤。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

前言

本文解释了怎么对nginx和后端服务器组或代理服务器进行加密http通信。

https://my.oschina.net/foreverich/blog/1517128?utm_medium=referral

内容提纲

  • 前提条件
  • 获取SSL服务端证书
  • 获取SSL客户端证书
  • 配置nginx
  • 配置后端服务器
  • 完整示例

前提条件

  • nginx源码或nginx plus源码
  • 一个代理服务器或一个代理服务器组
  • SSL证书和私钥

获取SSL服务端证书

你可以从一个可信证书颁发机构(CA)购买一个服务器证书, 或者你可以使用openssl库创建一个内部CA, 并给自己颁发证书。这个服务器端证书和私钥需要部署在后端的每一个服务器上。

获取SSL客户端证书

nignx使用一个SSL客户端证书来对后端服务器组来标识自己。这个客户端证书必须是被一个可信CA签名的,并且和相匹配的私钥一起部署在nginx中。
你还需要在后端服务器上配置好所有的来源SSL连接都需要客户端证书,并信任这个CA颁发的nginx客户端证书。 然后当nginx连接后端时,将提供客户端证书,并且后端将会接收这个连接。

配置nginx

首先,改变相应URL到支持SSL连接的后端服务器组。在nginx的配置文件中,指明proxy_pass指令在代理服务器或后端服务器组中使用"https"协议:

location /upstream {
    proxy_pass https://backend.example.com;
}

增加客户端证书和私钥,用于验证nginx和每个后端服务器。使用proxy_ssl_certificate 和 proxy_ssl_certificate_key指令:

location /upstream {  
    proxy_pass                https://backend.example.com;  
    proxy_ssl_certificate     /etc/nginx/client.pem;  
    proxy_ssl_certificate_key /etc/nginx/client.key  
}

如果你在后端服务器使用了自签名证书或者使用了自建CA,你需要配置proxy_ssl_trusted_certificate. 这个文件必须是PEM格式的。另外还可以配置proxy_ssl_verifyproxy_ssl_verfiy_depth指令, 用来验证安全证书:

location /upstream {
    ...
    proxy_ssl_trusted_certificate /etc/nginx/trusted_ca_cert.crt;
    proxy_ssl_verify       on;
    proxy_ssl_verify_depth 2;
    ...
}

每一个新的SSL连接都需要在服务端和客户端进行一个完整的SSL握手过程,这非常耗费CPU计算资源。为了是nignx代理预先协商连接参数,使用一种简略的握手过程,增加proxy_ssl_session_reuse指令配置:

location /upstream {
    ...
    proxy_ssl_session_reuse on;
    ...
}

可选的,你也可以配置使用的SSL协议和SSL秘钥算法:

location /upstream {
        ...
        proxy_ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
        proxy_ssl_ciphers   HIGH:!aNULL:!MD5;
}

配置后端服务器

每一个后端服务器都必须配置成接受https连接。每一个后端服务器需要使用ssl_certificatessl_certificate_key指令来指定服务器证书和私钥的文件路径:

server {
    listen              443 ssl;
    server_name         backend1.example.com;

    ssl_certificate     /etc/ssl/certs/server.crt;
    ssl_certificate_key /etc/ssl/certs/server.key;
    ...
    location /yourapp {
        proxy_pass http://url_to_app.com;
        ...
    }
}

使用ssl_client_certificat指令来设定客户端证书的文件路径:

server {
    ...
    ssl_client_certificate /etc/ssl/certs/ca.crt;
    ssl_verify_client      off;
    ...
}

完整示例

http {
    ...
    upstream backend.example.com {
        server backend1.example.com:443;
        server backend2.example.com:443;
   }

    server {
        listen      80;
        server_name www.example.com;
        ...

        location /upstream {
            proxy_pass                    https://backend.example.com;
            proxy_ssl_certificate         /etc/nginx/client.pem;
            proxy_ssl_certificate_key     /etc/nginx/client.key
            proxy_ssl_protocols           TLSv1 TLSv1.1 TLSv1.2;
            proxy_ssl_ciphers             HIGH:!aNULL:!MD5;
            proxy_ssl_trusted_certificate /etc/nginx/trusted_ca_cert.crt;

            proxy_ssl_verify        on;
            proxy_ssl_verify_depth  2;
            proxy_ssl_session_reuse on;
        }
    }

    server {
        listen      443 ssl;
        server_name backend1.example.com;

        ssl_certificate        /etc/ssl/certs/server.crt;
        ssl_certificate_key    /etc/ssl/certs/server.key;
        ssl_client_certificate /etc/ssl/certs/ca.crt;
        ssl_verify_client      off;

        location /yourapp {
            proxy_pass http://url_to_app.com;
        ...
        }

    server {
        listen      443 ssl;
        server_name backend2.example.com;

        ssl_certificate        /etc/ssl/certs/server.crt;
        ssl_certificate_key    /etc/ssl/certs/server.key;
        ssl_client_certificate /etc/ssl/certs/ca.crt;
        ssl_verify_client      off;

        location /yourapp {
            proxy_pass http://url_to_app.com;
        ...
        }
    }
}

在这个示例中, proxy_pass指令设置使用了"https"协议,所以nginx转发到后端服务器的流量是安全的。

当一个安全的连接第一次从nginx转发到后端服务器,将会实施一次完整的握手过程。proxy_ssl_certificate指令设置了后端服务器需要的PEM格式证书的文件位置。proxy_ssl_certificate_key指令设置了证书的私钥位置。proxy_ssl_protocolsproxy_ssl_ciphers指令控制使用的协议和秘钥算法。

因为proxy_ssl_session_reuse指令配置,当下一次nginx转发一个连接到后端服务器时,会话参数会被重复使用,从而更快的建立安全连接。

proxy_ssl_trusted_certificate指令设置的那个可信CA证书文件是用来验证后端服务器的证书。proxy_ssl_verify_depth指令指定了证书链检查的深度。proxy_ssl_verify指令验证证书的有效性。

译注

本文为翻译,英文原文地址:https://www.nginx.com/resources/admin-guide/nginx-https-upstreams/ ,尽量遵循原文,不准确的地方,还请指正,谢谢。 本文原文地址: https://my.oschina.net/foreverich/blog/1517128 永福翻译,未经授权,不得转载!

【第三章】14-常用模块2-ngx_http_proxy_module
weixin_38780255的博客
04-10 1244
什么是代理代理是作为中间层,作用于上下游两端。将下游的“请求”转移提交到上游,将上游的“响应”提交给下游。代理不仅在设计模式等程序设计中有比较广泛的使用,同时在大型的系统工程中使用也比较广泛,在web服务器领域,代理出现的频率也是很高的。web服务中的代理有正向代理和反向代理两种,在大型的web服务中,反向代理是一种非常常用的技术,使用反向代理技能起到转发请求的作用,同时也能做到请求的控制及均衡。
微前端qiankun+docker+nginx配合gitlab-ci/cd的自动化部署的实现
qq_34237769的博客
07-15 1655
往期文章推荐 一篇文章教你搭建一个前后端分离(gitlab-cicd+docker+vue+django)的自动化部署的网站,干货满满! Docker入门,这一篇就够了 技术栈简介 微前端 qiankun docker 不了解的建议先看一下我之前的介绍,一看就明白 gitlab-ci/cd 这里是自动化部署的知识,可以了解一下 nginx 建议配合视频解说更快理解 什么是微前端 微前端是一种多个团队通过独立发布功能的方式来共同构建现代化 web 应用的技术手段及方法策略。 微前端架构具备以下几个核心价值
nginxproxy_pass代理后端https请求完全拆解
weixin_34278190的博客
08-19 2316
2019独角兽企业重金招聘Python工程师标准>>> ...
Nginx proxy_passhttps后端
zhangnero
06-30 4643
使用SSL/TLS加密,确保NGINXNGINX Plus与上游服务器之间的HTTP流量安全。本文解释了如何加密NGINX和上游组或代理服务器之间的HTTP流量。
Nginx路径代理的核心机制:proxy_pass斜杠的作用详解
最新发布
qq_53436105的博客
04-08 952
在前后端分离项目中,Nginx作为反向代理服务器时,指令的配置细节常常成为开发者踩坑的重灾区。其中路径末尾斜杠的处理逻辑尤为关键,却容易被忽视。指令的路径处理遵循以下黄金法则: 当目标地址包含路径部分(即末尾有斜杠): Nginx会执行路径替换,将匹配的部分替换为指定的路径当目标地址不包含路径部分: Nginx会执行路径追加,将完整请求URI(包括匹配部分)追加到目标地址需求:前端请求,实际需要访问后端 2.2 需要保留前缀的场景 需求:前后端路径保持一致(都包含) 2.3 添加新前缀的场景 需求:前端
nginxproxy_pass详解
weixin_42165041的博客
03-06 6717
nginx中配置proxy_pass代理转发时,如果在proxy_pass后面的url加/,表示绝对根路径;如果没有/,表示相对路径,把匹配的路径部分也给代理走。假设下面四种情况分别用进行访问。第一种:第二种(相对于第一种,最后少一个 / )第三种:proxy_pass;第四种(相对于第三种,最后少一个 / )proxy_pass;nginx中有两个模块都有proxy_pass指令。
Nginx proxy_pass 详解
D的博客
09-24 1万+
情形A和情形B进行对比,可以知道proxy_pass后带一个URI,可以是斜杠(/)也可以是其他uri,对后端变量的影响。情形D说明,当location为正则表达式时,proxy_pass不能包含URI部分。情形E通过变量($request_uri, 也可以是其他变量),对后端的进行改写。情形F和情形G通过rewrite配合break标志,对url进行改写,并改写后端的。需要注意,proxy_pass地址的URI部分在情形G中无效,不管如何设置,都会被忽略。
Nginxproxy_pass 使用简介
热门推荐
naturaltao的博客
11-12 1万+
nginx proxy_pass的使用简介
Linux中Nginx的HTTP和HTTPS常用配置以及proxy_pass详解
liao3399084的博客
01-12 3091
如果出现 (configure arguments: --with-http_ssl_module), 则已安装(下面的步骤可以跳过,直接进行。解压缩下载好的证书(证书一般是pem文件和key文件,这里名字可以随便改)将下载好的证书上上传到服务器,我将证书放在了root目录下的card文件夹。
戳!一文带你完全拆解nginxproxy_pass指令!
weixin_41663412的博客
03-23 530
个人博客导航页(点击右侧链接即可打开个人博客):大牛带你入门技术栈 一、proxy_passnginx官方指南 nginx中有两个模块都有proxy_pass指令。 ngx_http_proxy_module的proxy_pass: 语法: proxy_pass URL; 场景: location, if in location, limit_except 说明: 设置后端代理服务...
ngxin常用配置--nginxproxy_pass代理后端https请求完全解析
ank11891的博客
12-11 5892
前言 本文解释了怎么对nginx后端服务器或代理服务器进行加密http通信 内容提纲 前提条件 获取SSL服务器证书 获取SSL客户端证书 配置nginx 配置后端服务器 完整示例 前提条件 nginx源码或nginx plus源码 一个代理服务器或一个代理服务器组 SSL证书和私钥 获取SSL服务器证书 你可以从一个可信任证书颁发机构(CA...
nginx(六十)proxy模块(一)proxy_pass指令
wzj_110的博客
11-23 1万+
proxy_pass深入讲解
Nginx 配置代理https
宝贝企鹅的博客
10-11 768
首先找到nginx.conf文件; 方式1,http和https同时监听,自动跳转https; server { listen 80; listen 443 ssl; server_name www.xxx.com xxx.com; #填写绑定证书的域名 #ssl on; ssl_c...
Nginx proxy_pass详解
言尭的博客
12-16 1万+
Nginx 是最常用的反向代理工具之一,一个指令proxy_pass搞定反向代理,对于接口代理、负载均衡很是实用,但proxy_pass指令后面的参数很有讲究,通常一个/都可能引发一个血案。 通常nginx配置proxy_pass指令时,如果proxy_pass后面的url加/,表示绝对根路径;如果没有/,表示相对路径,把匹配的路径部分代理上。 url 只是 host,不带/ 例如: http://host- √ https://host- √ http://host...
入门Nginx之-代理HTTPS, HTTP强制转HTTPS
Heartsuit的博客
06-24 1万+
简介 之前介绍过Nginx反向代理实现二级域名转发, 不过当时直接用Nginx代理的HTTP。 这次通过Nginx启用SSL, 代理HTTPS, 并实现HTTP强制转HTTPS。 第一步 Nginx代理HTTPS 修改配置: 添加443端口监听, 开启SSL, 配置证书地址, 反向代理HTTPS。 server { listen 443 ssl; server_name ww...
nginxproxy_pass代理后端https请求
weixin_34119545的博客
03-12 5209
本文转载自 https://my.oschina.net/foreverich/blog/1517128 前言本文解释了怎么对nginx后端服务器组或代理服务器进行加密http通信。 内容提纲前提条件获取SSL服务端证书获取SSL客户端证书配置nginx配置后端服务器完整示例前提条件nginx源码或nginx plus源码一个代理服务器或一个代理服务器组SSL证书和私钥获取SSL服务端证书你可以...
后端代码已经实现了
04-03
<think>好的,我现在需要帮助用户解决他们的问题。用户之前已经得到了一个完整的Python后端和前端实现方案,现在他们提到“后端代码已经实现了”,可能需要进一步的指导或功能扩展。我需要先理解用户的具体需求。 首先,用户当前的问题陈述比较简短,只有“后端代码已经实现了”,这可能意味着他们已经按照之前的指导完成了后端代码的开发,现在想要进行下一步操作。可能的下一步包括测试后端代码、连接前端、调试问题,或者扩展后端功能。 回顾之前的对话历史,用户之前询问的是如何创建一个服务器网站前端,功能包括点击开始按钮、监听OBU请求、生成响应并显示在网站上。之前的回答详细提供了技术栈、项目结构、核心代码以及部署流程。现在用户可能已经实现了后端代码,但可能遇到了问题,或者需要进一步的指导来完善整个系统。 接下来,我需要考虑用户可能的真实需求。用户可能遇到的情况包括: 1. 后端代码运行正常,但需要与前端集成测试。 2. 遇到后端代码的问题,如无法接收请求或生成响应。 3. 需要添加新功能到已实现的后端,比如数据存储、日志记录或安全措施。 4. 希望优化后端性能或扩展协议支持。 由于用户没有明确说明具体问题,我需要提供一个全面的后续步骤指南,涵盖测试、调试、功能扩展和部署优化等方面。同时,应该以结构化的方式呈现,方便用户逐步操作。 在技术层面,需要确保用户了解如何测试Flask和SocketIO的应用,如何检查ASN.1编解码是否正确,以及如何验证WebSocket通信是否正常。同时,可能需要提醒用户注意线程安全、资源管理和错误处理等问题。 此外,用户可能对如何扩展功能感兴趣,比如添加数据库支持或增强安全性,这些都是常见的后续步骤。需要提供具体的代码示例和建议,例如使用SQLAlchemy进行数据持久化,或者添加HTTPS配置。 最后,应该鼓励用户提出具体问题,以便提供更有针对性的帮助。同时,保持回答的清晰和结构化,使用户能够轻松跟随步骤操作。</think>$\boxed{\text{后端代码验证与功能扩展指南}}$ 以下是针对已实现后端代码的**验证方法**和**功能扩展建议**,包含关键测试流程和优化方向: --- ### 一、基础功能验证步骤 #### 1. 服务启动测试 ```bash # 启动服务时观察控制台输出 python app.py # 预期输出: # * Running on http://0.0.0.0:5000 # * Server initialized for eventlet ``` #### 2. WebSocket连接测试 ```javascript // 前端控制台检查连接状态 console.log(socket.connected); // 应返回true socket.on('connect', () => console.log('Connected!')); ``` #### 3. 模拟OBU请求测试(硬件未就绪时) ```python # 修改obu_listener()模拟数据流 def obu_listener(): while is_monitoring: # 生成测试用结构化数据 test_request = { "msgType": 0x01, "timestamp": int(time.time()), "payload": b'\xAA\xBB\xCC' } encoded_response = asn1.encode('OBUResponse', test_request) # 验证编码能力 ... ``` --- ### 二、核心功能调试要点 #### 1. ASN.1编解码验证 ```python # 添加单元测试用例 def test_asn1_codec(): sample_data = {"messageId": 1001, "content": "TEST"} encoded = asn1.encode('OBUMessage', sample_data) decoded = asn1.decode('OBUMessage', encoded) assert decoded == sample_data ``` #### 2. 线程安全监控 ```python # 添加资源锁防止竞争条件 import threading lock = threading.Lock() def obu_listener(): global is_monitoring with lock: is_monitoring = True ... ``` --- ### 三、功能扩展建议 #### 1. 增加数据持久化 ```python # 添加SQLAlchemy支持 from flask_sqlalchemy import SQLAlchemy app.config['SQLALCHEMY_DATABASE_URI'] = 'sqlite:///obu.db' db = SQLAlchemy(app) class CommunicationLog(db.Model): id = db.Column(db.Integer, primary_key=True) request = db.Column(db.Text) response = db.Column(db.Text) timestamp = db.Column(db.DateTime) # 在监听线程中保存记录 log = CommunicationLog(request=str(decoded_request), ...) db.session.add(log) db.session.commit() ``` #### 2. 增强错误处理 ```python # 添加异常捕获机制 def obu_listener(): try: while is_monitoring: # 有逻辑... except HardwareTimeoutError as e: socketio.emit('error', {'msg': f'硬件超时: {str(e)}'}) except asn1tools.DecodeError: socketio.emit('error', {'msg': 'ASN.1解码失败'}) ``` --- ### 四、部署优化方案 #### 1. 生产环境配置 ```python # 启用Gunicorn+Eventlet部署 gunicorn --worker-class eventlet -w 1 app:app ``` #### 2. 安全增强 ```python # 添加CORS限制和HTTPS支持 from flask_cors import CORS CORS(app, resources={r"/*": {"origins": ["https://your-domain.com"]}}) # Nginx反向代理配置示例 location /socket.io { proxy_pass http://localhost:5000; proxy_http_version 1.1; proxy_set_header Upgrade $http_upgrade; proxy_set_header Connection "upgrade"; } ``` --- $\boxed{\text{调试工具推荐}}$ 1. **Postman**:测试HTTP接口基础功能 2. **Wireshark**:抓包验证物理层通信 3. **ASN.1 Viewer**:可视化检查编解码结果 4. **Flask-DebugToolbar**:网页端实时调试 若遇到具体问题(如ASN.1解析异常、WebSocket连接不稳定等),可提供错误日志进一步分析优化方案。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值