二级目录映射

目前前后端项目分离场景多了以后，一般是前端一个端口，后端一个端口。

如前端是 https://example.com/index.html，调用的接口是 https://example.com:4433

如此部署对于一些小项目未免有些麻烦，当然你在公网环境下也可以选择使用子域名、其他域名进行跨域访问。

这里说的是同一个域名，同一个端口，让前后端同时进行访问服务。

前端地址：https://example.com/index.html

接口地址：https://example.com/api/

这里先记录我已经测试通过的反向代理的方式，即不改变原本的 server 配置。直接通过反向代理将 example.com/api 重定向到 example.com:4443/

location ^~ /api/ {
    proxy_pass  https://example.com:4433/;
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}

值得一提的是，location 段的^~是代表某个字符作为开头匹配，这里就是以/api/作为开头进行匹配 URL 规则。

这里不能写作~，因为~是正则匹配的意思，用了正则就不能再 proxy_pass 段配置 URI 了，所谓 URI 就是 4433 端口后面的/。

如果不写/，当访问 example.com/api/index.php 时，会代理到 example.com:4433/api/index.php。并不能定位到后端的根路径，所以这里以/结束。

非标准 HTTPS 端口重定向

如果想让你的非标准 https 端口，如 2083 支持 HTTP 跳转 HTTPS 访问，请参照如下配置。

error_page 497 https://$host:2083$request_uri;

如果不这么配置，默认当用户不确定网站协议时，采用了 HTTP 协议访问你的 HTTPS 网站就会出现无法访问。

错误如：The plain HTTP request was sent to HTTPS port

HTTP 强制跳转 HTTPS

日常为了保证访客安全性，我们常常需要让全站保持 HTTPS 访问，那么你可以通过以下配置。

server {
        listen 80 default_server;
        server_name example.com;
        rewrite ^(.*) https://$server_name$1 permanent;
        #上面的 rewrite 也可以写作
        return 301 https://$host$request_uri;
}
server {
        listen 443 ssl;
        server_name example.com;
}

做法是，让 80 监听到的 HTTP 链接全部重定向到 HTTPS 端口中。

HSTS 策略保持 HTTPS 连接

与此同时，你也可以通过开启 HSTS 策略强制让访客浏览器保持使用 HTTPS 链接，添加如下代码：

add_header Strict-Transport-Security "max-age=31536000; includeSubDomains;preload" always;

• max-age：设置单位时间（秒）内強制使用 HTTPS 连接，这里为 1 年

• includeSubDomains：可选，站点所有子域同时生效

• preload：可选，非规范值，用于定义使用『HSTS 预加载列表』

• always：可选，保证所有响应都发送此响应头，包括各种內置错误响应

Nginx 反向代理

反向代理的场景很多，例如前面的前后端统一域名端口，例如负载均衡等。

location / {
    proxy_pass  http://example.com;
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}

完整参数配置

location / {
	proxy_pass  http://example.com;
	proxy_redirect     off;
	proxy_set_header   Host             $host;
	proxy_set_header   X-Real-IP        $remote_addr;
	proxy_set_header   X-Forwarded-For  $proxy_add_x_forwarded_for;
	proxy_next_upstream error timeout invalid_header http_500 http_502 http_503 http_504;
	proxy_max_temp_file_size 0;
	proxy_connect_timeout      90;
	proxy_send_timeout         90;
	proxy_read_timeout         90;
	proxy_buffer_size          4k;
	proxy_buffers              4 32k;
	proxy_busy_buffers_size    64k;
	proxy_temp_file_write_size 64k;
}

端口转发

Nginx 端口转发性能也非常强大，可以用于内网数据库、其他服务端口外露的场景。

如将内网的 192.168.1.2MySQL 数据库端口通过 Nginx 所在服务器的 33062 端口进行外露。

upstream TCP3306 {
	hash $remote_addr consistent;
	server 192.168.1.2:3306;
}

server {
	listen 33062;
	proxy_connect_timeout 5s;
	proxy_timeout 300s;
	proxy_pass TCP3306;
}

限制访问 IP

可以通过 ngx_http_access_module 允许限制某些 IP 地址的访问。

比如仅允许内网 IP 访问管理后台页面。

location /admin {
    allow 192.168.1.0/24;
    allow 10.0.0.0/24;
    deny all;
}

其中的 192.168.1.0/24 和 10.0.0.0/24 皆为允许访问的 IP。默认从上而下依次匹配规则，如果匹配不中前面的内网 IP，则默认命中最后的拒绝访问。

过滤请求类型

如果你已经明确知道你的网站只有 GET、POST、HEAD 这三种请求，其他请求完全用不到，则可以通过如下方式直接屏蔽掉。

if($request_method !~ ^(GET|HEAD|POST)$) {
    return404;
}

Timeout 设置

有时候，为了优化一些网站性能，可以将超时时间设置低一些，来降低死链接。

http {

    client_body_timeout 10;
    client_header_timeout 30;
    keepalive_timeout 30 30;
    send_timeout 10;

}

关闭 Nginx 版本号

当用户请求返回数据中不包含具体的 nginx 版本号，避免一些版本漏洞被猜解。

server_tokens off;