nginx redis 액세스 제어에 lua를 사용하는 방법
- 王林앞으로
- 2023-06-02 16:31:15938검색
1. 요구사항 분석
1. Nginx는 접근 제어를 처리하는 방법이 다양하며, 접근 IP 범위, 접근 콘텐츠 제한, 접근 빈도 제한 등 구현 효과도 많습니다.
2. 액세스 제한을 위해 Nginx+Lua+Redis를 사용하는 것은 주로 높은 동시성 환경에서 빠른 액세스 제어의 필요성을 고려합니다.
3 Nginx 처리 요청 프로세스는 다음과 같은 11단계로 나뉩니다.
post-read、server-rewrite、find-config、rewrite、post-rewrite、 preaccess、access、post-access、try-files、content、log.
openresty에서는 다음을 찾을 수 있습니다.
set_by_lua,access_by_lua,content_by_lua,rewrite_by_lua等方法。
그러면 액세스 제어가 액세스 단계가 되어야 합니다.
해결 방법
일반적인 논리적 사고에 따르면 우리가 생각하는 접근 제어 솔루션은 다음과 같습니다.
1. 금지 여부를 감지합니까? =》예, 금지 기간이 만료되었는지 여부: 예, 기록 지우기, 200 반환, 일반 접속; 아니오, 200 반환, 정상 접속
2. 1 처리
3. 액세스 빈도가 제한을 초과하는지 확인합니다. 제한을 초과하면 금지된 레코드가 추가되고 403이 반환됩니다.
간단한 해결 방법도 있습니다. 알고리즘을 통해 접근 금지 시간을 가져오며, 매번 오목 곡선이 증가합니다.
구현 방법
먼저 nginx용 vhost 구성 파일을 추가합니다. vhost.conf 부분은 다음과 같습니다.
lua_package_path "/usr/local/openresty/lualib/?.lua;;";#告诉openresty库地址lua_package_cpath "/usr/local/openresty/lualib/?.so;;";
error_log /usr/local/openresty/nginx/logs/openresty.debug.log debug;
server {
listen 8080 default;
server_name www.ttlsa.com;
root /www/openresty;
location /login {
default_type 'text/html';
access_by_lua_file "/usr/local/openresty/nginx/lua/access_by_redis.lua";#通过lua来处理访问控制 }
}Access_by_redis.lua
v2ex.com 구현을 참고한 결과, 간단한 문자열 저장 솔루션이면 충분합니다. 그래서 저장 방법으로 redis를 선택했습니다. 키는 다음과 같습니다.
사용자 로그인 기록: 사용자:127.0.0.1:time(unix 타임스탬프)
액세스 제한: 블록:127.0.0.1
Redis에 먼저 연결:
local red = redis:new()function M:redis()
red:set_timeout(1000)local ok, err = red:connect("127.0.0.1", 6379)if not ok then ngx.exit(ngx.HTTP_INTERNAL_SERVER_ERROR)
end
end우리의 논리적 계획에 따르면 두 번째 첫 번째 다음으로 block:127.0.0.1을 확인하고, 시간이 만료되지 않았는지 확인하고, 그렇지 않으면 200을 반환합니다. 직접:
function M:check1()local time=os.time() --system timelocal res, err = red:get("block:"..ngx.var.remote_addr)if not res then -- redis error
ngx.exit(ngx.HTTP_INTERNAL_SERVER_ERROR) --redis get data error endif type(res) == "string" then --if red not null then type(red)==string
if tonumber(res) >= tonumber(time) then --check if forbidden expired
ngx.exit(ngx.HTTP_FORBIDDEN)
--ngx.say("forbidden")
end
end
}다음으로 액세스 빈도가 초과되었는지 확인합니다. 높음, 너무 높으면 블랙리스트에 추가됩니다. 이를 달성하는 방법은 user:127.0.0.1:time 값을 감지하는 것입니다. 기준을 초과함:
function M:check2()local time=os.time() --system timelocal res, err = red:get("user:"..ngx.var.remote_addr..":"..time)if not res then -- redis error
ngx.exit(ngx.HTTP_INTERNAL_SERVER_ERROR) --redis get data error
endif type(res) == "string" then if tonumber(res) >= 10 then -- attack, 10 times request/s
red:del("block:"..self.ip)
red:set("block:"..self.ip, tonumber(time)+5*60 ) --set block time
ngx.exit(ngx.HTTP_FORBIDDEN)
end
end
end마지막으로 방문할 때마다 시간을 확보하는 것을 잊지 마세요. Self-increasing, user:127.0.0.1:time:
function M:add()local time=os.time() --system time
ok, err = red:incr("user:"..ngx.var.remote_addr..":"..time)if not ok then ngx.exit(ngx.HTTP_INTERNAL_SERVER_ERROR) --redis get data error
end
end그런 다음 테스트하고 브라우저를 여러 번 강제로 새로 고치고 잠시 후 발견한 결과는 403이 반환되었습니다. 완료되었습니다.
위 내용은 nginx redis 액세스 제어에 lua를 사용하는 방법의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!