在現代互聯網架構中，Nginx 已經成為了非常重要的組件，廣泛應用于負載均衡、反向代理以及靜態資源的服務。除了這些基本功能，Nginx 還提供了豐富的配置選項來處理限流（Rate Limiting）和鑒權（Authentication）。這兩項技術對于確保服務的可用性和安全性至關重要，特別是在高并發和敏感數據訪問場景中。本文將詳細介紹如何在 Nginx 中配置限流和鑒權，并講解其在實際應用中的必要性。

 點擊關注 持續更新

一、Nginx 限流：防止惡意請求與流量洪峰

1. 限流的必要性

在生產環境中，尤其是面對大規模用戶訪問時，系統可能會遭遇各種形式的惡意攻擊和流量洪峰。常見的場景包括：

• 暴力破解：攻擊者通過不斷嘗試用戶名和密碼進行暴力破解，這種攻擊方式會消耗大量的服務器資源。

• 爬蟲攻擊：不受控制的爬蟲請求可能會導致服務器負載過高，甚至導致服務宕機。

• DoS/DDoS 攻擊：分布式拒絕服務攻擊（DDoS）通過大量請求壓垮服務器，造成服務不可用。

限流可以幫助我們有效控制每個客戶端在單位時間內的請求頻率，從而減少服務的壓力，防止惡意攻擊。

2. 使用limit_req 模塊實現限流

Nginx 提供了limit_req 模塊來實現請求限流。它可以基于客戶端 IP 或路徑進行限流，并支持精確的控制。

示例配置：按 IP 限制請求頻率

http {

    # 定義一個限制請求速率的區域

    limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s;

    server {

        listen 80;

        server_name example.com;

        location / {

            # 使用指定的限制區域

            limit_req zone=one burst=5 nodelay;

            # 正常處理請求

            proxy_pass http://backend;

        }

    }

}

• limit_req_zone：定義了限流的區域，這里基于客戶端的 IP 地址（$binary_remote_addr），并限制請求頻率為每秒 1 個請求。zone=one:10m 表示為這個限流區域分配 10MB 的內存。

• limit_req：實際限制每秒的請求數量，burst=5 表示允許最多 5 個突發請求，nodelay 表示不延遲處理突發請求。

使用場景：

1. 防止暴力破解：限制一個 IP 每秒只能發起 1 次請求，可以有效防止暴力破解密碼的攻擊。

2. 應對爬蟲流量：對于爬蟲或不受控制的自動化工具，設定限流策略可以減輕服務器負載，保護重要接口不被過度訪問。

3. Nginx 限流的其他方式

雖然按IP 限流是最常見的方式，但 Nginx 還支持多種限流策略，可以幫助針對不同的業務場景靈活配置限流機制。以下是其他一些常見的限流方式：

按URI（路徑） 限流

在某些場景下，我們希望對特定路徑的請求進行限流，比如 API 接口。Nginx 可以通過$request_uri 或location 配置項進行路徑級別的限流。

示例：按 URI 限流

http {

    limit_req_zone $request_uri zone=path:10m rate=1r/s;

    server {

        listen 80;

        server_name example.com;

        location /api/ {

            # 使用路徑限流

            limit_req zone=path burst=5 nodelay;

            proxy_pass http://backend;

        }

    }

}

• limit_req_zone $request_uri：將路徑作為限流的依據，限制每個路徑每秒最多接受 1 個請求，burst=5 允許最多 5 次突發請求。

按Session ID 限流

某些應用場景下，我們可能需要根據用戶的會話信息進行限流，比如同一個用戶在短時間內不能發起過多請求。可以通過cookie 來標識會話。

示例：按 Session ID 限流

http {

    limit_req_zone $cookie_session_id zone=session:10m rate=2r/s;

    server {

        listen 80;

        server_name example.com;

        location / {

            # 使用 Session ID 限流

            limit_req zone=session burst=10 nodelay;

            proxy_pass http://backend;

        }

    }

}

• $cookie_session_id：從請求的 cookie 中獲取 Session ID，作為限流的依據。每個 Session 每秒最多接受 2 個請求。

按請求頭 限流

通過limit_req 配合請求頭信息（如User-Agent 或X-Forwarded-For）進行限流，可以針對特定的用戶設備或來源 IP 進行控制。

示例：按 User-Agent 限流

http {

    limit_req_zone $http_user_agent zone=user_agent:10m rate=5r/s;

    server {

        listen 80;

        server_name example.com;

        location / {

            # 使用 User-Agent 限流

            limit_req zone=user_agent burst=10 nodelay;

            proxy_pass http://backend;

        }

    }

}

• $http_user_agent：從請求的User-Agent 頭中提取設備信息，并基于此進行限流。

4. 限流的應對策略

• 平滑限流：通過設置burst 參數，可以允許短時間內的請求激增，但在超過限制時會被延遲處理，避免直接拒絕。

• 動態調整：根據不同的業務需求，可能需要動態調整限流參數，比如根據流量變化自動調整請求限制。

二、Nginx 鑒權：保障應用安全

1. 鑒權的必要性

鑒權是保障應用安全的核心機制之一，特別是在敏感數據的訪問控制上。沒有有效的鑒權措施，任何人都可以通過直接訪問 API 或接口獲取數據，帶來安全風險。常見的鑒權方式包括：

• 基本認證：通過用戶名和密碼進行身份驗證。

• JWT 鑒權：基于 JSON Web Token 的認證方式。

• OAuth 2.0：第三方授權認證，適用于需要跨域訪問的應用。

在 Nginx 中配置鑒權，可以有效防止未授權的訪問，確保只有合法用戶能夠訪問敏感資源。

2. 使用auth_basic 實現 HTTP 基本認證

最常見的鑒權方式是基本認證，也就是用戶在訪問某些路徑時需要提供用戶名和密碼。Nginx 通過auth_basic 模塊來實現這種方式。

示例配置：設置 HTTP 基本認證

server {

    listen 80;

    server_name example.com;

    location /secure/ {

        # 啟用基本認證

        auth_basic "Restricted Area";

        auth_basic_user_file /etc/nginx/.htpasswd;

        # 代理請求到后端

        proxy_pass http://backend;

    }

}

• auth_basic：指定認證區域的名稱，瀏覽器會顯示該名稱作為認證提示。

• auth_basic_user_file：指定存儲用戶名和密碼的文件路徑。你可以使用工具（如htpasswd）生成該文件。

使用場景：

• 保護管理后臺：僅允許經過認證的用戶訪問管理后臺或控制臺。

• 敏感數據訪問：限制只有特定用戶能夠訪問涉及個人數據、財務信息等敏感接口。

3. 使用 JWT 進行鑒權

對于更復雜的認證需求，可以采用JWT 鑒權。JWT（JSON Web Token）是一種輕量級的身份驗證方式，廣泛應用于現代 Web 應用和 API。通過 JWT，用戶只需在第一次認證后獲得一個 token，后續請求中通過帶上該 token 實現身份驗證。

Nginx 本身不直接支持 JWT，但可以借助第三方模塊（如ngx_http_jwt_module）來實現 JWT 鑒權。

示例配置：基于 JWT 的鑒權

server {

    listen 80;

    server_name example.com;

    location /api/ {

        # 檢查 Authorization 頭中的 JWT token

        auth_jwt "Restricted Access";

        auth_jwt_key /etc/nginx/jwt-public.pem;

        # 代理請求到后端

        proxy_pass http://backend;

 }

}

• auth_jwt：啟用 JWT 鑒權，指定需要身份驗證的區域。

• auth_jwt_key：指定用于驗證 JWT 的公鑰。

使用場景：

• 微服務架構：多個服務之間需要進行安全的通信，可以通過 JWT 實現單點登錄（SSO）和跨服務鑒權。

• 移動應用：移動端應用常常采用 JWT 進行身份驗證，確保每次請求都可以驗證用戶身份。

三、總結

Nginx 提供了豐富的限流和鑒權配置選項，能夠幫助開發者有效控制流量、保護服務安全。限流不僅有助于防止惡意攻擊，還能在流量突發時保護服務穩定；而鑒權則保障了敏感資源的安全，確保只有授權用戶可以訪問。通過靈活運用這些功能，您可以讓您的應用更安全、更高效。

如有任何問題，歡迎在評論區與我交流！

原文來源：https://mp.weixin.qq.com/s/tRGstOkvvxighAsdfsoRRA