nginx反向代理cas应用实践(多地址跳转)

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了nginx反向代理cas应用实践(多地址跳转)相关的知识,希望对你有一定的参考价值。

问题的提出:最近单位遇到一个需求,单位a和单位b,都通过专线连接到我单位,单位b提出需要访问单位a网络中的一个网站应用,本来很简单问题,只需要我单位中一台可以访问两边网络的服务器上,架设nginx就可以解决该问题,事实上,我天真了!

(ps:本文仅针对对nginx反向代理有一定了解的朋友,如不了解请自行百度)

问题出现在这个网站应用上,他们使用了cas架构,在系统登录的url地址和应用的地址不在一起:如下

技术分享图片

当使用系统的地址访问时,他跳转到下面的位置,显示了登录页面:

技术分享图片


当登录系统后,又跳转回192.168.20.150这个地址上。

查了一下cas,应该是用于登录权限管理的。

通过fiddle跟踪,发现在使用http://192.168.20.164登录时,返回了如下信息

技术分享图片

红线标出了,浏览器下次跳转的url,继续跳转,返回:

技术分享图片

继续跳,返回:

技术分享图片

到这里,再跳转到index.aspx就进入系统了。

是不是有点晕!总结一下:

进入系统,一共进行了三次跳转,系统的登录首页在192.168.20.164上面,点击登录成功后,就跳转到192.168.20.150上面去。

可以看出192.168.20.164是一个管理登录的服务器,系统的真实服务器在192.168.20.150上面。


好了,大体情况清楚了,但问题是如何实现我们的需求呢??

1、通过网络方式,开通两边的网络,这样肯定应该是可以,但太暴力了,也不允许,不现实,pass掉。

2、在中间服务器,使用nginx反向代理,但常规的方式,显然满足不了当前的情况,如果浏览器根据响应返回的location跳转,就会访问不到了,只能看如何在响应头返回前端浏览器前,更改掉Location,让它继续指向我们自己的nginx服务器地址。

所以,我安装一个台新的centos服务器在192.168.253.155上面,安装nginx 1.9.9,因为需要改变响应头中的Location值,需额外安装ngx_headers_more模块。

          在《nginx替换响应头(重点:如何在替换时加上if判断)》这篇文章中有详细的介绍。

nginx.conf主要配置如下:

    map $upstream_http_Location $location{
        ~http://192.168.20.150/(?<param>.*) $param;
         default $upstream_http_Location;
    }

... ...

    server {
        listen       80;
        server_name  localhost;

        location /xt/ {
             set $qz http://192.168.253.155/;
             more_set_headers -s '302' 'Location:$qz$location';
             add_header Cache-Control 'no-cache';
             add_header Cache-Control 'no-store';

             sub_filter  '/smportal-cas/'   '/xt/smportal-cas/';
             sub_filter_once off;
             proxy_pass http://192.168.20.164:XXXX/;
        }


       location / {
... ...
             proxy_pass http://192.168.20.150/;
        }

... ...

最上面的map用于将登录页面返回响应头中Location为的内容映射到变量$location中去,我们可以看到,在192.168.20.164上登录成功后,首先就跳转到http://192.168.20.150/xxx/xxx.aspx?ticket=xxxxxx,如下图:

技术分享图片

这时我们通~http://192.168.20.150/(?<param>.*) $param;取出150/后面的内容(因为每次后面的内容会不同)赋到$location中。

(注:(?<xxx> xxxx)是nginx中通过正则取值到变量的方法,此处首先赋值给了$param,然后通过map映射到$location。

至于为什么不用$upstream_http_Location直接取值,用if判断呢?前面推荐的那篇文章写的很清楚。)


接下来配置,将http://192.168.253.155/xt/的访问代理到http://192.168.20.164上面,让用户可以访问登录页面。

其中

             set $qz http://192.168.253.155/; #设置变量$qz为我们自己的地址
             more_set_headers -s '302' 'Location:$qz$location'; #将$qz和$location(保存着刚才取到需跳转url的后面路径和参数部分)拼接成指向我们自己nginx的地址,即替换原先url中http://192.168.20.150为http://192.168.253.155


最后配置http://192.168.253.155/的访问代理到http://192.168.20.150上面去,即完成了本次的任务。

(ps: sub_filter的部分,是因为在登录页面中有很js,包括登录按钮提交时的url都使用了绝对的地址,所以需要在返回页面到前端前替换掉这些url,增加我们前辍/xt/,这样访问才没有问题。

    其实,实际情况中, 有很多的限制,比如单位b访问我单位的nginx服务器时,由于中间有网络设备不好调整,限制访问端口只能用80,而不能增加其它端口,所以配置只能使用子路径来区分多代理,本来可以用多端口就不用sub_filter替换内容了。

在实验的过程中,也尝试过用代理登录的192.168.20.164服务器,用子路径xt代理系统服务器,最后引出了cookie的设置问题,虽最终没这样设,但发现nginx可以设置cookie的path,以保证代理时路径改变,cookie作对应的调整,特在此备注一下:

         proxy_cookie_path  /   /xt/;#将cookie的path的/映射为 /xt/

    感觉nginx真的很方便,原先为了实现反向代理、跨域,可是用编程实现的,唉。



以上是关于nginx反向代理cas应用实践(多地址跳转)的主要内容,如果未能解决你的问题,请参考以下文章

Cento7+Nginx反向代理实现多域名跳转

Nginx 实践案例:反向代理单台web;反向代理多组web并实现负载均衡

Nginx反向代理入门到实践

nginx 配置实例-反向代理

nginx 反向代理

nginx反向代理-多端口映射