nginx 优化

403 : 权限拒绝 有可能是nginx配置了拒绝权限 deny 也有可能是目录权限问题

502  基本都是phptomcat 的问题  挂了 或者配置不对等

2、 nginx 参数

[root@qing conf]# cat vhost/www.qing.com.conf

server {

        listen 192.168.4.33:80;

        server_name www.qing.com;

        root /qing;

        if ($uri ~ /index.html$)

        { return 200 'uri=$uri; request=$request_uri; document_uri=$document_uri;

         

a=$arg_a; b=$arg_b;

          host=$host; hostname=$hostname; server_name=$server_name; request_filename=$request_filename;';

        }        

}

浏览器输入：http://www.qing.com/index.html?a=1&b=2

发挥结果：

uri=/index.html; request=/index.html?a=1&b=2; document_uri=/index.html; 

a=1; b=2;

host=www.qing.com; hostname=qing; server_name=www.qing.com; request_filename=/qing/index.html;

3. nginx  location

500[root@qing vhost]# cat www.qing.com.conf 

server {

        listen 192.168.4.33:80;

        server_name www.qing.com;

        root /qing;

#       if ($uri ~ /index.html$)

#        { return 200 'uri=$uri; request=$request_uri; document_uri=$document_uri;domain=$domain;

#          

a=$arg_a; b=$arg_b;

#          host=$host; hostname=$hostname; server_name=$server_name; request_filename=$request_filename;';

#        }        

        location / {return 500;}

#location /ming/ { return 404;}

location ~* \.jpg$ {return 403;}

location ^~ /ming/ {return 402;}

location /ming/test.jpg {return 401;}

location = /ming/test.jpg {return 400;}

测试：

1. [root@qing vhost]# curl -o /dev/null -s -w "%{http_code}" www.qing.com

    500

   注： 没有匹配任何规则， 则匹配默认选项

   

2.   [root@qing vhost]# curl -o /dev/null -s -w "%{http_code}" www.qing.com/ming/test.jpg

    400

   注： 1. 带”=”前缀的先进行匹配，如果找到了，中止查找。

        2. 删掉匹配中的规则 ， 继续测试

3. curl -o /dev/null -s -w "%{http_code}" www.qing.com/ming/test.jpg

   403

   

4. curl -o /dev/null -s -w "%{http_code}" www.qing.com/ming/test.jpg

    401

5. curl -o /dev/null -s -w "%{http_code}" www.qing.com/ming/test.jpg

    402

6. curl -o /dev/null -s -w "%{http_code}" www.qing.com/ming/test.jpg

   500

   

   

   

由以上测试可推出location 匹配顺序：

location = /ming/test.jpg {return 400;}

location ~* \.jpg$ {return 403;}

location /ming/test.jpg {return 401;}

location ^~ /ming/ {return 402;}

location / {return 500;}

自己总结： 1. 先匹配‘=’ 精准匹配

           2. 匹配正则表达式  ~ ~*

           3. 匹配普通字符串， 长的字符串优先

           

           

location匹配命令

~      #波浪线表示执行一个正则匹配，区分大小写

~*    #表示执行一个正则匹配，不区分大小写

^~    #^~表示普通字符匹配，如果该选项匹配，只匹配该选项，不匹配别的选项，一般用来匹配目录

=      #进行普通字符精确匹配

@     #"@" 定义一个命名的 location，使用在内部定向时，例如 error_page, try_files

location 匹配的优先级(与location在配置文件中的顺序无关)

= 精确匹配会第一个被处理。如果发现精确匹配，nginx停止搜索其他匹配。

普通字符匹配，正则表达式规则和长的块规则将被优先和查询匹配，也就是说如果该项匹配还需去看有没有正则表达式匹配和更长的匹配。

^~ 则只匹配该规则，nginx停止搜索其他匹配，否则nginx会继续处理其他location指令。

最后匹配理带有"~"和"~*"的指令，如果找到相应的匹配，则nginx停止搜索其他匹配；当没有正则表达式或者没有正则表达式被匹配的情况下，那么匹配程度最高的逐字匹配指令会被使用。

参考nginx 官网中文版：

http://www.nginx.cn/115.html

遗留问题：

 location ~* \.jpg$ {return 403;}

location ^~ /ming/ {return 402;}

访问返回值为 402  

 location ~* \.jpg$ {return 403;}

location ^~ /ming/ {return 402;}

location /ming/test.jpg {return 401;}

返回结果403

防盗链方法：

1. 图片、视频 打上水印

2. 根据regerer 实现防盗链 ，

3. 根据cookie处理

4. 通过加密变幻访问路径实现防盗链

一：一般的防盗链如下： 

location ~* \.(gif|jpg|png|swf|flv)$ { 

  valid_referers none blocked www.jzxue.com jzxue.com ; 

  if ($invalid_referer) { 

    rewrite ^/ http://www.jzxue.com/retrun.html; 

    #return 403; 

  } 

} 

第一行：gif|jpg|png|swf|flv 

表示对gif、jpg、png、swf、flv后缀的文件实行防盗链 

第二行： 表示对www.ingnix.com这2个来路进行判断 

if{}里面内容的意思是，如果来路不是指定来思是，如果来路不是指定来路就跳转到http://www.jzxue.com/retrun.html页面，当然直接返回403也是可以的。

二：针对图片目录防止盗链 

location /p_w_picpaths/ { 

  alias /data/p_w_picpaths/; 

  valid_referers none blocked server_names *.xok.la xok.la ; 

  if ($invalid_referer) {return 403;} 

} 

三：使用第三方模块ngx_http_accesskey_module实现Nginx防盗链 

实现方法如下： 

实现方法如下：

1. 下载NginxHttpAccessKeyModule模块文件：http://wiki.nginx.org/File:Nginx-accesskey-2.0.3.tar.gz；

2. 解压此文件后，找到nginx-accesskey-2.0.3下的config文件。编辑此文件：替换其中的”$HTTP_ACCESSKEY_MODULE”为”ngx_http_accesskey_module”；

3. 用一下参数重新编译nginx：

./configure --add-module=path/to/nginx-accesskey

<

上面需要加上原有到编译参数，然后执行: make && make install

4. 修改nginx的conf文件，添加以下几行：

location /download {

  accesskey on;

  accesskey_hashmethod md5;

  accesskey_arg "key";

  accesskey_signature "mypass$remote_addr";

}

其中：

accesskey为模块开关；

accesskey_hashmethod为加密方式MD5或者SHA-1；

accesskey_arg为url中的关键字参数；

accesskey_signature为加密值，此处为mypass和访问IP构成的字符串。

访问测试脚本download.php：

$ipkey= md5("mypass".$_SERVER['REMOTE_ADDR']);

$output_add_key="download_add_key
";

$output_org_url="download_org_path
";

echo $output_add_key;

echo $output_org_url;

?>

访问第一个download_add_key链接可以正常下载，第二个链接download_org_path会返回403 Forbidden错误。

参考：

NginxHttpAccessKeyModule

http://xok.la/2009/03/nginx_http_accesskey_module_referer.html