使用场景

需要在后端服务之前做访问控制,或没有后端服务的场景,如静态文件。

实验环境

Ubuntu 14.04

Nginx 1.4.6

安装 Lua 运行环境

sudo apt-get install lua5.1 liblua5.1-dev liblua5.1-socket2 libluajit-5.1-2 libluajit-5.1-common nginx-extras

测试是否支持 lua

在 Nginx server 配置中增加location块:

 location /lua/test/ {

        default_type 'text/html';

        content_by_lua 'ngx.say("hello world");';

    }

能看到对应浏览器输出,表示当前Nginx已支持lua脚本:

简单的签名验证

举例实现对某个静态文件目录添加签名验证。

URL参数包含当前时间戳“ts”,以及签名“sign”,lua脚本实现以下功能:

  • 时间戳与当前服务器时间相差上下5分钟以内。
  • 使用secretkey+时间戳做MD5,得到签名字符串,与传入的sign参数对比验证。
  • 如果以上任何一个验证不通过,则返回403错误。

代码如下:

 location /lua/tmp/ {

        alias /tmp/;

        access_by_lua '

            -- 配置的app id对应secret key

            local appIdKeys = {

                ["app001"] = "secretkey_1",

                ["app002"] = "secretkey_2"

            };

            local args = ngx.req.get_uri_args();

            local timestamp = args["timestamp"];     -- 获取参数的时间戳

            local now = os.time();           -- 获取当前时间戳

            local offset = math.abs(now - timestamp);  -- 计算时间差绝对值

            -- 时间戳相差超过300秒,返回403

            if offset > 

            then                                                                                                     

                ngx.status = ngx.HTTP_FORBIDDEN;

                ngx.say("403 Forbidden<br>"..now);

                ngx.exit(ngx.HTTP_FORBIDDEN);

            end

            local appid = args["appid"];  -- 参数中的APP ID

            local sign = args["sign"];  -- 参数中的签名

            local curr_sign = ngx.md5(appIdKeys[appid] .. timestamp);

            -- 如果参数中的 sign 和计算得到的 curr_sign 不相等,则说明访问非法,禁止访问,否则放行访问

            if curr_sign ~= sign then

                ngx.status = ngx.HTTP_FORBIDDEN;

                ngx.say("Invalid signature");

                ngx.exit(ngx.HTTP_FORBIDDEN);

            end

        ';

    }

执行结果:

多说两句

配合 lua-nginx-redis 模块,能够读取redis数据,实现更丰富的验证手段。

Nginx 中利用 Lua 脚本做访问控制的更多相关文章

  1. CentOS6.4 安装OpenResty和Redis 并在Nginx中利用lua简单读取Redis数据

    1.下载OpenResty和Redis OpenResty下载地址:wget http://openresty.org/download/ngx_openresty-1.4.3.6.tar.gz Re ...

  2. 服务降级 托底预案 Nginx中使用Lua脚本检测CPU使用率,当达到阀值时开启限流,让用户排队

    https://mp.weixin.qq.com/s/FZAcQQAKomGEe95kln1HCQ 在京东我们是如何做服务降级的 https://mp.weixin.qq.com/s/FZAcQQAK ...

  3. openresty(nginx)中使用lua脚本获取请求IP地址的代码

    人狠话不多,直接上代码:------------------------------------------------------------------------------------- lo ...

  4. Nginx 内嵌lua脚本,结合Redis使用

    0x00 Nginx 内嵌Lua脚本有下面特点: 20k个并发连接 Lua脚本能够在Nignx 11个层次的不同层次发挥作用,扩展Ngnix功能 Lua速度极快(寄存器指令) 0x01 应用场景 在w ...

  5. 【COCOS2DX-LUA 脚本开发之一】在Cocos2dX游戏中使用Lua脚本进行游戏开发(基础篇)并介绍脚本在游戏中详细用途!

    [COCOS2DX-LUA 脚本开发之一]在Cocos2dX游戏中使用Lua脚本进行游戏开发(基础篇)并介绍脚本在游戏中详细用途! 分类: [Cocos2dx Lua 脚本开发 ] 2012-04-1 ...

  6. 新姿势!Redis中调用Lua脚本以实现原子性操作

    背景:有一服务提供者Leader,有多个消息订阅者Workers.Leader是一个排队程序,维护了一个用户队列,当某个资源空闲下来并被分配至队列中的用户时,Leader会向订阅者推送消息(消息带有唯 ...

  7. 怎样在Cocos2d-x中使用Lua脚本

    版权声明:本文为博主原创文章.未经博主同意不得转载. https://blog.csdn.net/u013321328/article/details/25699545 笔者使用的是Cocos2d-x ...

  8. Redis中的原子操作(2)-redis中使用Lua脚本保证命令原子性

    Redis 如何应对并发访问 使用 Lua 脚本 Redis 中如何使用 Lua 脚本 EVAL EVALSHA SCRIPT 命令 SCRIPT LOAD SCRIPT EXISTS SCRIPT ...

  9. C++中嵌入Lua脚本环境搭建

    第一步(环境准备工作): 工具: ●LuaForWindows_v5.1.4-46.exe傻瓜式安装. 作用:此工具可以在windows环境下编译运行Lua脚本程序.安装完成后会有两个图标:Lua和S ...

随机推荐

  1. sql语句基础

    数据库库(DataBase):就是一个存储数据的仓库.为了方便数据的存储和管理,它将数据按照特定的规律存储在磁盘上.通过数据库管理系统,可以有效的组织和管理存储在数据库中的数据.SQL(Structu ...

  2. Python_002_Python语言基础

    ♥2.1  Python的程序概述 Python程序可以分解为模块.语句.表达式.对象 ♥2.2  Python对象和引用 2.2.1  Python对象概述 对象:标识(identity).类型(t ...

  3. 「洛谷4197」「BZOJ3545」peak【线段树合并】

    题目链接 [洛谷] [BZOJ]没有权限号嘤嘤嘤.题号:3545 题解 窝不会克鲁斯卡尔重构树怎么办??? 可以离线乱搞. 我们将所有的操作全都存下来. 为了解决小于等于\(x\)的操作,那么我们按照 ...

  4. kubernetes学习第一篇-k8s安装以及HelloWorld

    安装 1. 关闭防火墙服务 # systemctl disable firewalld # systemctl stop firewalld 2. 安装etcd以及kubernetes软件 yum i ...

  5. 构建一个maven聚合类型的横向可扩展项目

    那个时候初入java这个大家庭,学习的方向很乱.毕业后,在公司磨练了一年,总想着是该交一份答卷了,可能成绩不会很好,但求及格!那么考试题目呢,我计划搭建一个横向可扩展的项目,可以在平台自扩展各种子项目 ...

  6. es6异步编程

    https://blog.csdn.net/tcy83/article/details/80274772 等一系列文章

  7. Django web编程3 -- 创建用户账户

    我们将建立一个用户注册和身份验证系统,让用户能够注册账户,进而登录和注销.我们将创建一个新的应用程序,其中包含与处理用户账户相关的所有功能.我们还将对模型Topic 稍做修改,让每个主题都归属于特定用 ...

  8. 《Exception团队》第一次作业:团队亮相

    一.项目基本介绍 项目 内容 这个作业属于哪个课程 任课教师博客主页链接 这个作业的要求在哪里 作业链接地址 团队名称 Exception 作业学习目标 深入了解软件思想,强化编程技术 二.正文 1. ...

  9. Exp6 信息收集与漏洞扫描

    一.实践过程 1.信息收集 1.1 通过DNS和IP查询目标网站的信息 (1)whois命令用来进行域名注册信息查询,可查询到3R注册信息,包括注册人的姓名.组织和城市等信息. whois baidu ...

  10. 基于jeesite的cms系统(一):开发环境搭建

    基于jeesite的cms系统系列,是对基于jeesite进行二次开发的博客模块开发过程的总结.涉及入门安装,二次开发,部署等 一.概况: JeeSite 是一个 Java 企业级快速开发平台,基于经 ...