使用场景
需要在后端服务之前做访问控制,或没有后端服务的场景,如静态文件。
实验环境
Ubuntu 14.04
Nginx 1.4.6
安装 Lua 运行环境
sudo apt-get install lua5.1 liblua5.1-dev liblua5.1-socket2 libluajit-5.1-2 libluajit-5.1-common nginx-extras
测试是否支持 lua
在 Nginx server 配置中增加location块:
location /lua/test/ {
default_type 'text/html';
content_by_lua 'ngx.say("hello world");';
}
能看到对应浏览器输出,表示当前Nginx已支持lua脚本:
简单的签名验证
举例实现对某个静态文件目录添加签名验证。
URL参数包含当前时间戳“ts”,以及签名“sign”,lua脚本实现以下功能:
- 时间戳与当前服务器时间相差上下5分钟以内。
- 使用secretkey+时间戳做MD5,得到签名字符串,与传入的sign参数对比验证。
- 如果以上任何一个验证不通过,则返回403错误。
代码如下:
location /lua/tmp/ {
alias /tmp/;
access_by_lua '
-- 配置的app id对应secret key
local appIdKeys = {
["app001"] = "secretkey_1",
["app002"] = "secretkey_2"
};
local args = ngx.req.get_uri_args();
local timestamp = args["timestamp"]; -- 获取参数的时间戳
local now = os.time(); -- 获取当前时间戳
local offset = math.abs(now - timestamp); -- 计算时间差绝对值
-- 时间戳相差超过300秒,返回403
if offset >
then
ngx.status = ngx.HTTP_FORBIDDEN;
ngx.say("403 Forbidden<br>"..now);
ngx.exit(ngx.HTTP_FORBIDDEN);
end
local appid = args["appid"]; -- 参数中的APP ID
local sign = args["sign"]; -- 参数中的签名
local curr_sign = ngx.md5(appIdKeys[appid] .. timestamp);
-- 如果参数中的 sign 和计算得到的 curr_sign 不相等,则说明访问非法,禁止访问,否则放行访问
if curr_sign ~= sign then
ngx.status = ngx.HTTP_FORBIDDEN;
ngx.say("Invalid signature");
ngx.exit(ngx.HTTP_FORBIDDEN);
end
';
}
执行结果:
多说两句
配合 lua-nginx-redis 模块,能够读取redis数据,实现更丰富的验证手段。