技术无边界 | Nginx+lua+Redis实现禁止黑名单访问

Posted 爱好历史的程序员

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了技术无边界 | Nginx+lua+Redis实现禁止黑名单访问相关的知识,希望对你有一定的参考价值。


我们之前有写过nginx系列文章,知道lua是可以很好地和Nginx配合使用的,可以在进入代码之前做一些处理,我们今天不妨尝试结合Redis来实现禁止黑名单访问的demo。

这里我们力求简单,省去安装,使用OpenResty,安装我们之前曾操作过,请看这一篇文章。


我是在windows7电脑上测试使用,主要配置代码如下:

 
   
   
 
    
  
    
    
  
  1.  # 分配内存,根据业务量
    2. 
  
    
    
  
  2.  lua_shared_dict ip_blacklist 1m;
    3. 
  
    
    
  

    4. 
  
    
    
  
  4.  server {
    5. 
  
    
    
  
  5.  listen 80;
    6. 
  
    
    
  
  6.  server_name localhost;
    7. 
  
    
    
  

    8. 
  
    
    
  
  8.  root E:/www/web/test;
    9. 
  
    
    
  

    10. 
  
    
    
  
  10.  access_log logs/host.access.log ;
    11. 
  
    
    
  
  11.  error_log logs/host.error.log;
    12. 
  
    
    
  

    13. 
  
    
    
  
  13.  location / {
    14. 
  
    
    
  
  14.  access_by_lua_file ../lua/black.lua;
    15. 
  
    
    
  
  15.  index index.html index.htm;
    16. 
  
    
    
  
  16.  }
    17. 
  
    
    
  

    18. 
  
    
    
  

    19. 
  
    
    
  
  19.  error_page 500 502 503 504 /50x.html;
    20. 
  
    
    
  
  20.  location = /50x.html {
    21. 
  
    
    
  
  21.  root html;
    22. 
  
    
    
  
  22.  }
    23. 
  
    
    
  

    24. 
  
    
    
  

    25. 
  
    
    
  
  25.  location ~ \.php$ {
    26. 
  
    
    
  
  26.  # 指定lua文件
    27. 
  
    
    
  
  27.  access_by_lua_file "D:\openresty-1.15.8.1-win64/lua/black.lua";
    28. 
  
    
    
  
  28.  fastcgi_pass 127.0.0.1:9000;
    29. 
  
    
    
  
  29.  fastcgi_index index.php;
    30. 
  
    
    
  
  30.  fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
    31. 
  
    
    
  
  31.  include fastcgi_params;
    32. 
  
    
    
  
  32.  }
    33. 
  
    
    
  
  33.  }
    34.

black.lua

 
   
   
 
    
  
    
    
  
  1. 
  
    
    
  
  2. local redis_port = "6379"
    3. 
  
    
    
  

    4. 
  
    
    
  
  4. -- 连接超时时间,单位ms,不建议设置太高
    5. 
  
    
    
  
  5. local redis_connection_timeout = 1000
    6. 
  
    
    
  

    7. 
  
    
    
  
  7. local redis_key = "ip_blacklist"
    8. 
  
    
    
  

    9. 
  
    
    
  
  9. -- 缓存时间,单位s
    10. 
  
    
    
  
  10. local cache_ttl = 100
    11. 
  
    
    
  

    12. 
  
    
    
  
  12. -- 以上是配置
    13. 
  
    
    
  

    14. 
  
    
    
  
  14. local ip = ngx.var.remote_addr
    15. 
  
    
    
  
  15. local ip_blacklist = ngx.shared.ip_blacklist
    16. 
  
    
    
  
  16. local last_update_time = ip_blacklist:get("last_update_time");
    17. 
  
    
    
  

    18. 
  
    
    
  
  18. -- 当缓存时间到期更新blacklist
    19. 
  
    
    
  
  19. if last_update_time == nil or last_update_time < ( ngx.now() - cache_ttl ) then
    20. 
  
    
    
  

    21. 
  
    
    
  
  21.  local redis = require "resty.redis";
    22. 
  
    
    
  
  22.  local red = redis:new();
    23. 
  
    
    
  

    24. 
  
    
    
  
  24.  red:set_timeout(redis_connect_timeout);
    25. 
  
    
    
  

    26. 
  
    
    
  
  26.  local ok, err = red:connect(redis_host, redis_port);
    27. 
  
    
    
  

    28. 
  
    
    
  
  28.  if not ok then
    29. 
  
    
    
  
  29.  ngx.say("redis connect failed: ", err)
    30. 
  
    
    
  
  30.  ngx.log(ngx.DEBUG, "Redis connection error while retrieving ip_blacklist: " .. err);
    31. 
  
    
    
  
  31.  return ngx.exit(ngx.HTTP_INTERNAL_SERVER_ERROR)
    32. 
  
    
    
  
  32.  else
    33. 
  
    
    
  
  33.  -- local res, err = red:auth("foobared") -- 配置redis的密码,我测试未设置密码,代码注释
    34. 
  
    
    
  

    35. 
  
    
    
  
  35.  --if not res then
    36. 
  
    
    
  
  36.  --ngx.say("redis auth is error: ", err)
    37. 
  
    
    
  
  37.  --return
    38. 
  
    
    
  
  38.  --end
    39. 
  
    
    
  
  39.  red:select(0) -- 设置redisdb
    40. 
  
    
    
  
  40.  local new_ip_blacklist, err = red:smembers(redis_key);
    41. 
  
    
    
  
  41.  if err then
    42. 
  
    
    
  
  42.  ngx.log(ngx.DEBUG, "Redis read error while retrieving ip_blacklist: " .. err);
    43. 
  
    
    
  
  43.  else
    44. 
  
    
    
  
  44.  -- 情况本地存储
    45. 
  
    
    
  
  45.  ip_blacklist:flush_all();
    46. 
  
    
    
  
  46.  for index, banned_ip in ipairs(new_ip_blacklist) do
    47. 
  
    
    
  
  47.  ip_blacklist:set(banned_ip, true);
    48. 
  
    
    
  
  48.  end
    49. 
  
    
    
  

    50. 
  
    
    
  
  50.  -- 更新时间
    51. 
  
    
    
  
  51.  ip_blacklist:set("last_update_time", ngx.now());
    52. 
  
    
    
  
  52.  end
    53. 
  
    
    
  
  53.  end
    54. 
  
    
    
  
  54. end
    55. 
  
    
    
  

    56. 
  
    
    
  

    57. 
  
    
    
  
  57. if ip_blacklist:get(ip) then
    58. 
  
    
    
  
  58.  --ngx.say(ip)
    59. 
  
    
    
  
  59.  ngx.log(ngx.DEBUG, "Banned IP detected and refused access: " .. ip);
    60. 
  
    
    
  
  60.  return ngx.exit(ngx.HTTP_FORBIDDEN);
    61. 
  
    
    
  
  61. end
    62.

完成。

当然了,这只是个基础版本,你可以让这个禁止访问功能更强大,比如增加可疑ip写入,比如增加ip限流等等。


以上是关于技术无边界 | Nginx+lua+Redis实现禁止黑名单访问的主要内容,如果未能解决你的问题,请参考以下文章

分布式限流之Redis+Lua实现

Ngnix技术研究系列2-基于Redis实现动态路由

nginx+lua+redis实现GET请求接口之黑名单

Nginx+Lua+Redis 实现高性能缓存数据读取

nginx+lua+redis实现post请求接口之黑名单(一)

lua保存缓存中文件