Nginx动态反向代理（2022/11/12）

文章目录

Nginx动态反向代理（2022/11/12）

工作中经常遇到需要在前端访问第三方平台接口的情况，前端直接访问会遇到跨域、http 禁止调用 https 等问题，故需要在后台通过 Nginx 进行反向代理。随着第三方平台的增加，反向代理配置文件越来越复杂，因此笔者在考虑通过参数传递目标地址实现动态反向代理，本文将详细介绍实现过程。

一、搭建环境

CentOS Linux release 7.9.2009 (Core)；
Nginx/1.22.0；

二、技术方案

方案一：

通过 query 参数携带反向代理目标地址到 nginx，nginx 通过 $arg_variable 获取到代理地址，进而通过 proxy_pass 进行反向代理。

方案二：

通过 sub url 传递反向代理目标地址到 nginx，nginx 通过正则匹配获取到代理地址，进而通过 proxy_pass 进行反向代理。

方案对比：

在实现的过程中，发现方案一存在以下问题：

获取到的代理目标地址经过了 url 编码，nginx 无法正确代理；
url 编码将 // 编码成了 /；
反向代理时 query 参数会携带反向代理地址，导致部分代理地址无法正确响应结果；

因此，笔者最终选择了通过方案二来实现，详细的实现过程见下文。

三、实现过程

配置 DNS 解析服务器：因为 proxy_pass 使用变量时无法正确解析域名，因此需要手动指定 DNS 解析服务器；

location /_proxy/ {
    # 配置 DNS 服务器，proxy_pass 采用变量时需要指定
    resolver 114.114.114.114 valid=3600s;
}
1
2
3
4

获取代理地址：通过正则表达式获取代理目标地址，以 https://127.0.0.1/_proxy/https://api.github.com/search/users?q=test 为例；

location /_proxy/ {
    # 配置 DNS 服务器，proxy_pass 采用变量时需要指定
    resolver 114.114.114.114 valid=3600s;

    # 通过正则截取路由中的 sub url
    if ($request_uri ~* "/_proxy/(.*)") {
        set $proxy_url $1;
    }
}
1
2
3
4
5
6
7
8
9

进行反向代理：通过正则获取代理地址中的主机地址，并通过 proxy_pass 进行反向代理；

location /_proxy/ {
    # 配置 DNS 服务器，proxy_pass 采用变量时需要指定
    resolver 114.114.114.114 valid=3600s;

    # 通过正则截取路由中的 sub url
    if ($request_uri ~* "/_proxy/(.*)") {
        set $proxy_url $1;
    }

    # 解析请求地址，并进行反向代理
    set $is_matched 0;
    if ($proxy_url ~* "^(http|ws)(s?):\/\/?([a-zA-Z0-9\-\.]+:?\d*)([^\?]*)") {
        set $is_matched 1;
        set $proxy_protocol http$2;
        set $proxy_host $3;
        set $proxy_uri $4;
        set $proxy_url $proxy_protocol://$proxy_host$proxy_uri;

        proxy_pass $proxy_url$is_args$args;
    }
}
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21

注：proxy_pass 通过变量指定地址时，不会将 query 参数传递给目标地址，因此需要通过 $is_args$args 手动传递 query 参数。

WebSocket 支持：根据 $http_upgrade 的值实现动态升级 WebSocket 连接；

# map 指令根据客户端请求头中 $http_upgrade 的值构建 $connection_upgrade 的值；如果 $http_upgrade 没有匹配，默认值为 upgrade，如果 $http_upgrade 配置空字符串，值为 close
map $http_upgrade $connection_upgrade {
    default upgrade;
    '' close;
}

location /_proxy/ {
    # 配置 DNS 服务器，proxy_pass 采用变量时需要指定
    resolver 114.114.114.114 valid=3600s;

    # 通过正则截取路由中的 sub url
    if ($request_uri ~* "/_proxy/(.*)") {
        set $proxy_url $1;
    }

    # 解析请求地址，并进行反向代理
    set $is_matched 0;
    if ($proxy_url ~* "^(http|ws)(s?):\/\/?([a-zA-Z0-9\-\.]+:?\d*)([^\?]*)") {
        set $is_matched 1;
        set $proxy_protocol http$2;
        set $proxy_host $3;
        set $proxy_uri $4;
        set $proxy_url $proxy_protocol://$proxy_host$proxy_uri;

        proxy_pass $proxy_url$is_args$args;
    }


    # 请求服务器升级协议为 WebSocket
    proxy_http_version 1.1;
    proxy_set_header Upgrade $http_upgrade;
    proxy_set_header Connection $connection_upgrade;

    # 设置读写超时时间，默认 60s 无数据连接将会断开
    proxy_read_timeout 300s;
    proxy_send_timeout 300s;
}
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37

反向代理优化：通过添加部分请求头对反向代理进行优化；

# map 指令根据客户端请求头中 $http_upgrade 的值构建 $connection_upgrade 的值；如果 $http_upgrade 没有匹配，默认值为 upgrade，如果 $http_upgrade 配置空字符串，值为 close
map $http_upgrade $connection_upgrade {
    default upgrade;
    '' close;
}

location /_proxy/ {
    # 配置 DNS 服务器，proxy_pass 采用变量时需要指定
    resolver 114.114.114.114 valid=3600s;

    # 通过正则截取路由中的 sub url
    if ($request_uri ~* "/_proxy/(.*)") {
        set $proxy_url $1;
    }

    # 解析请求地址，并进行反向代理
    set $is_matched 0;
    if ($proxy_url ~* "^(http|ws)(s?):\/\/?([a-zA-Z0-9\-\.]+:?\d*)([^\?]*)") {
        set $is_matched 1;
        set $proxy_protocol http$2;
        set $proxy_host $3;
        set $proxy_uri $4;
        set $proxy_url $proxy_protocol://$proxy_host$proxy_uri;

        proxy_pass $proxy_url$is_args$args;
    }


    # 请求服务器升级协议为 WebSocket
    proxy_http_version 1.1;
    proxy_set_header Upgrade $http_upgrade;
    proxy_set_header Connection $connection_upgrade;

    # 设置读写超时时间，默认 60s 无数据连接将会断开
    proxy_read_timeout 300s;
    proxy_send_timeout 300s;

    # Host 主机名，为了避免目标服务做限制此处采用目标地址的 Host
    proxy_set_header Host $proxy_host;
    # X-Real-IP 将真实访问者的远端 IP 地址转发给代理服务器
    proxy_set_header X-Real-IP $remote_addr;
    # X-Forwarded-For 标记客户端通过代理连接到服务器的源 IP
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    # X-Forwarded-Host 标记客户端通过代理连接到服务器的原始主机
    proxy_set_header X-Forwarded-Host $host:$server_port;
    # X-Forwarded-Server 代理服务器的主机名
    proxy_set_header X-Forwarded-Server $host;
    # X-Forwarded-Port 定义客户端请求的原始端口
    proxy_set_header X-Forwarded-Port $server_port;
    # X-Forwarded-Proto 标记客户端通过代理连接到服务器的协议
    proxy_set_header X-Forwarded-Proto $scheme;
    # proxy_set_header X-Forwarded-Proto $proxy_x_forwarded_proto;
}
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53

异常处理：对不合法的代理地址进行提示；

# map 指令根据客户端请求头中 $http_upgrade 的值构建 $connection_upgrade 的值；如果 $http_upgrade 没有匹配，默认值为 upgrade，如果 $http_upgrade 配置空字符串，值为 close
map $http_upgrade $connection_upgrade {
    default upgrade;
    '' close;
}

location /_proxy/ {
    # 配置 DNS 服务器，proxy_pass 采用变量时需要指定
    resolver 114.114.114.114 valid=3600s;

    # 通过正则截取路由中的 sub url
    if ($request_uri ~* "/_proxy/(.*)") {
        set $proxy_url $1;
    }

    # 解析请求地址，并进行反向代理
    set $is_matched 0;
    if ($proxy_url ~* "^(http|ws)(s?):\/\/?([a-zA-Z0-9\-\.]+:?\d*)([^\?]*)") {
        set $is_matched 1;
        set $proxy_protocol http$2;
        set $proxy_host $3;
        set $proxy_uri $4;
        set $proxy_url $proxy_protocol://$proxy_host$proxy_uri;

        proxy_pass $proxy_url$is_args$args;
    }


    # 请求服务器升级协议为 WebSocket
    proxy_http_version 1.1;
    proxy_set_header Upgrade $http_upgrade;
    proxy_set_header Connection $connection_upgrade;

    # 设置读写超时时间，默认 60s 无数据连接将会断开
    proxy_read_timeout 300s;
    proxy_send_timeout 300s;

    # Host 主机名，为了避免目标服务做限制此处采用目标地址的 Host
    proxy_set_header Host $proxy_host;
    # X-Real-IP 将真实访问者的远端 IP 地址转发给代理服务器
    proxy_set_header X-Real-IP $remote_addr;
    # X-Forwarded-For 标记客户端通过代理连接到服务器的源 IP
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    # X-Forwarded-Host 标记客户端通过代理连接到服务器的原始主机
    proxy_set_header X-Forwarded-Host $host:$server_port;
    # X-Forwarded-Server 代理服务器的主机名
    proxy_set_header X-Forwarded-Server $host;
    # X-Forwarded-Port 定义客户端请求的原始端口
    proxy_set_header X-Forwarded-Port $server_port;
    # X-Forwarded-Proto 标记客户端通过代理连接到服务器的协议
    proxy_set_header X-Forwarded-Proto $scheme;
    # proxy_set_header X-Forwarded-Proto $proxy_x_forwarded_proto;

    # 如果目标地址为非 http、https、ws、wss 请求，提示错误信息
    default_type application/json;
    if ($is_matched = 0) {
        return 200 '{"code": 404, "message": "The proxy url is invalid!", "proxy_url": $proxy_url}';
    }
    # 调试输出
    # return 200 '{"code": 200, "proxy_url": $proxy_url$is_args$args, "proxy_host": $proxy_host, "request_uri": $request_uri}';
}
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61

四、配置结果

# map 指令根据客户端请求头中 $http_upgrade 的值构建 $connection_upgrade 的值；如果 $http_upgrade 没有匹配，默认值为 upgrade，如果 $http_upgrade 配置空字符串，值为 close
map $http_upgrade $connection_upgrade {
    default upgrade;
    '' close;
}

location /_proxy/ {
    # 配置 DNS 服务器，proxy_pass 采用变量时需要指定
    resolver 114.114.114.114 valid=3600s;

    # 通过正则截取路由中的 sub url
    if ($request_uri ~* "/_proxy/(.*)") {
        set $proxy_url $1;
    }

    # 解析请求地址，并进行反向代理
    set $is_matched 0;
    if ($proxy_url ~* "^(http|ws)(s?):\/\/?([a-zA-Z0-9\-\.]+:?\d*)([^\?]*)") {
        set $is_matched 1;
        set $proxy_protocol http$2;
        set $proxy_host $3;
        set $proxy_uri $4;
        set $proxy_url $proxy_protocol://$proxy_host$proxy_uri;

        proxy_pass $proxy_url$is_args$args;
    }


    # 请求服务器升级协议为 WebSocket
    proxy_http_version 1.1;
    proxy_set_header Upgrade $http_upgrade;
    proxy_set_header Connection $connection_upgrade;

    # 设置读写超时时间，默认 60s 无数据连接将会断开
    proxy_read_timeout 300s;
    proxy_send_timeout 300s;

    # Host 主机名，为了避免目标服务做限制此处采用目标地址的 Host
    proxy_set_header Host $proxy_host;
    # X-Real-IP 将真实访问者的远端 IP 地址转发给代理服务器
    proxy_set_header X-Real-IP $remote_addr;
    # X-Forwarded-For 标记客户端通过代理连接到服务器的源 IP
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    # X-Forwarded-Host 标记客户端通过代理连接到服务器的原始主机
    proxy_set_header X-Forwarded-Host $host:$server_port;
    # X-Forwarded-Server 代理服务器的主机名
    proxy_set_header X-Forwarded-Server $host;
    # X-Forwarded-Port 定义客户端请求的原始端口
    proxy_set_header X-Forwarded-Port $server_port;
    # X-Forwarded-Proto 标记客户端通过代理连接到服务器的协议
    proxy_set_header X-Forwarded-Proto $scheme;
    # proxy_set_header X-Forwarded-Proto $proxy_x_forwarded_proto;

    # 如果目标地址为非 http、https、ws、wss 请求，提示错误信息
    default_type application/json;
    if ($is_matched = 0) {
        return 200 '{"code": 404, "message": "The proxy url is invalid!", "proxy_url": $proxy_url}';
    }
    # 调试输出
    # return 200 '{"code": 200, "proxy_url": $proxy_url$is_args$args, "proxy_host": $proxy_host, "request_uri": $request_uri}';
}
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61

参考链接：

相关阅读:
python基础：判断分支语句的数学运用
 中级前端面试整理-上篇
 Unity 旋转大总结和项目操作
 解决jsonp跨域中的安全漏洞(包含meta解释)
论文解读（GCA）《Graph Contrastive Learning with Adaptive Augmentation》
Qt客户端开发的流程
 从一个程序员的角度看东方甄选“小作文”事件
 代码随想录1刷—链表篇
 warning C4819: 该文件包含不能在当前代码页(936)中表示的字符。请将该文件保存为 Unicode 格式以防止数据丢失
 SQL加解密注入详解
原文地址：https://blog.csdn.net/qq_44797987/article/details/127818406