服务网关---基于Nginx+lua+Redis的IP校验模块设计

最新推荐文章于 2024-04-02 09:39:47 发布
最新推荐文章于 2024-04-02 09:39:47 发布
阅读量438 收藏
点赞数 2
分类专栏: Nginx+Lua Redis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35723073/article/details/86487804
版权

一:IP校验功能点
    1:只有被添加白名单的客户端才能调用,否则返回403
    2:容错机制,如果Redis宕机等异常,IP校验失效,所有客户端请求放行。
    3:动态添加白名单,增加nginx缓存,60s生效。

二:设计思路
    1:在Reids中把白名单IP添加到set中存储,Nginx把其加载到内存中,每隔60s刷新一次。
    2:获取客户端请求IP,在Nginx内存中读取白名单IP清单,如果不存在,即拦截请求返回403,否则方向通过。
    3:如果在连接Redis和从Redis中读取数据时发生异常,则放行请求,不再进行IP校验

三:设计原理图

四:附源码

--access_by_lua_file /home/lws/soft/openResty/nginx/conf/lua/IP_check.lua;
--lua_shared_dict ip_white_list 10m;
--需要先在redis中增加白名单:sadd 'white.ip' member
--如果redis宕机,不影响业务,全部放行通过,不进行ip校验
--增加缓存机制,减少redis数据读取消耗,缓存刷新时间60s

function ip_check(redis_ip, redis_port, redis_pwd, cli_IP, redis_ip_key)
    local redis = require "resty.redis"
    local ip_white_list = ngx.shared.ip_white_list;
    local last_update_time = ip_white_list:get("last_update_time")

    if last_update_time == nil or last_update_time < (ngx.now()-60) then
        --连接redis
        local red = redis.new()
        red:set_timeout(1000)
        local ok, err = red.connect(red, redis_ip, redis_port)
        if not ok then    
            errmsg = string.format("connect redis faild %s %s %s",redis_ip,redis_port,err)
            return -1, errmsg
        end
        --添加redis的auth认证,如果无auth,则不需要
        local count
        count, err = red:get_reused_times()
        if 0 == count then
            ok, err = red:auth(redis_pwd)
            if not ok then
                errmsg = string.format("failed to auth %s",err)
                return -2, errmsg
            end
        elseif err then
            errmsg = string.format("failed to get reused times %s",err)
            return -3, errmsg
        end

        local new_ip_white_list, err = red:smembers(redis_ip_key)
        if err then
            errmsg = string.format("Read Redis ip_white_list failed %s",err)
            return -4, errmsg
        else
            ip_white_list:flush_all()   --清空缓存
            for index, ip_white in ipairs(new_ip_white_list) do
                ip_white_list:set(ip_white,true)
            end
        end

        ip_white_list:set("last_update_time",ngx.now())

        -- 连接池大小是100个,并且设置最大的空闲时间是 10 秒
        local ok, err = red:set_keepalive(10000, 100)
        if not ok then
            errmsg = string.format("failed to set keepalive %s",err)
            return -5, errmsg
        end
    end

    if not ip_white_list:get(cli_IP) then
        errmsg = string.format("%s not in ip_white_list",cli_IP)
        return 1,errmsg
    end
    return 0, string.format("%s in ip_white_list", cli_IP)
end


local cli_IP = ngx.var.remote_addr
local redis_ip = '127.0.0.1'
local redis_port = '6379'
local redis_pwd = 'liws'
local redis_ip_key = 'white.ip'
ret, err = ip_check(redis_ip, redis_port, redis_pwd, cli_IP, redis_ip_key)
if ret == 1 then
    ngx.exit(ngx.HTTP_FORBIDDEN)
    return
elseif ret < 0 then
    ngx.log(ngx.ERR,err)
    return

 

八二零
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
lua-resty-ipmatcher:Nginx + Lua的高性能匹配IP地址
02-03
lua-resty-ipmatcher:Nginx + Lua的高性能匹配IP地址
玩转NAS | 打造一个动态网关,部署OpenResty - NginxLua的强强联合
最新发布
WeiyiGeek 唯一极客IT知识分享
06-26 745
最近一个项目中用到 Openresty,作者使用后感觉其比 Nginx 更加强大,结合Lua脚本语言可以做更多的有趣的事情,例如,结合 Redis 缓存数据库做一个实时访问统计以及链路追踪,于是就想着在性价比超高的QNAP 464C2 NAS中安装一个 Openresty 用于后续在NAS中反代一些服务用作于动态Web网关。原文地址(一定要关注作者,学习更多知识!玩转NAS | 打造一个动态网关,部署OpenResty - NginxLua的强强联合。
OpenResty概述
诚的博客
10-25 444
OpenResty®是一个基于NginxLua 的高性能 Web 平台,其内部集成了大量精良的 Lua 库、第三方模块以及大多数的依赖项。用于方便地搭建能够处理超高并发、扩展性极高的动态 Web 应用、Web 服务和动态网关。 OpenResty®通过汇聚各种设计精良的Nginx模块(主要由 OpenResty 团队自主开发),从而将Nginx有效地变成一个强大的通用 Web 应用平台。这样,Web 开发人员和系统工程师可以使用 Lua 脚本语言调动Nginx支持的各种 C 以及 ...
Nginx + lua 实现网关认证、限流
不要让任何事情成为你不去学习的理由。
12-20 4842
Nginx + lua 实现网关认证、限流
nginx反向代理和负载均衡《实战》
weixin_44227567的博客
11-06 286
一、nginx反向代理 反向代理服务器:192.168.4.51 HTTP1:192.168.4.52 HTTP2:192.168.4.53 安装方法参考上篇关键字【nginx安装】 Nginx主机 vim /usr/local/nginx/conf/nginx.conf server { listen 80; #监听端口 server_name www.waiwang.com; #用来指定IP地...
nginx+lua+redis通过匹配客户端ip进行灰度发布
06-29
nginx+lua+redis通过匹配客户端ip进行灰度发布 本文将讲述如何使用nginxluaredis来实现灰度发布,通过匹配客户端IP来实现灰度发布。灰度发布是一种常见的软件发布方式,它允许开发者在生产环境中发布新的版本,...
nginx+lua+redis 集群 连接插件和脚本
12-09
在这个“nginx+lua+redis集群”解决方案中,提供的连接插件可能是指NginxRedis之间的通信模块,例如lua-redis-pconnector,这个插件允许Nginx通过Lua脚本直接与Redis进行交互。而脚本部分可能包括了处理业务逻辑、...
Nginx+Lua+Redis构建高并发Web应用
09-10
总结起来,Nginx+Lua+Redis的组合提供了一种强大的工具集,能够有效地处理高并发Web应用的需求。通过在Nginx中集成Lua,我们可以处理复杂的业务逻辑,而Redis则作为快速数据存储和访问的后端。这种架构不仅提高了...
Nginx利用Lua+Redis实现动态封禁IP的方法
01-10
本文给大家介绍的是Nginx利用Lua+Redis实现动态封禁IP的方法,下面话不多说了,来一起看看详细的介绍吧 二、架构 实现 IP 黑名单的功能有很多途径: 1、在操作系统层面,配置 iptables,拒绝指定 IP 的网络请求; 2...
nginx+lua+redis实现token验证
09-29
本文将深入探讨如何利用`nginx+lua+redis`来实现`token`验证,以确保只有经过授权的用户才能访问受保护的资源。 首先,让我们理解`token`验证的基本原理。`token`验证是一种身份验证机制,它允许客户端通过提供一个...
OpenResty 执行流程阶段
weixin_30446197的博客
06-28 811
nginx有11个处理阶段,如下图所示: 指令所处处理阶段使用范围解释 init_by_luainit_by_lua_file loading-config http nginx Master进程加载配置时执行;通常用于初始化全局配置/预加载Lua模块 init_worker_by_luainit_worker_by_lu...
Nginx 通过 Lua + Redis 实现动态封禁 IP
emprere的博客
11-17 165
上一篇:可怕!离职都开始内卷了?!为了封禁某些爬虫或者恶意用户对服务器的请求,我们需要建立一个动态的 IP 黑名单。对于黑名单之内的 IP ,拒绝提供服务。实现 IP 黑名单的功能有很多途...
服务网关---基于Nginx+lua+Redis服务降级设计(一)
AlbenXie的博客
09-29 1049
一:服务限流功能点 1:根据请求入参中的服务标识判断nginx后端服务是否处于流量限制中。如果是,则全部限制访问,否则,转发请求到后端服务。 2:容错机制,如果Redis宕机等异常,限流模块失效,所有客户端请求放行。 3:是否开启限流,及限流类型(AF:全部请求限制访问,PF:设置阈值,每秒限制请求多少次)可热加载。 二:设计思路 1:在Reids中设置服务键值标...
用ngx_lua实现简单的网页编码转换网关
chaoslawful
06-27 258
借助 nginx proxy 模块我们可以给 ngx_lua 很方便地实现非阻塞 HTTP 客户端功能,即使用一个被 proxy 模块处理的内部 location 作为 HTTP client stub,然后通过 ngx_lua 中的 location.capture 接口调用它访问外部 URL。当然为了能解析外部域名,还需要指定 nginx 的 resolver 地址以开启 proxy 模块的域...
使用`ngx-lua-zuul`构建强大的API网关:技术详解与优势
gitblog_00098的博客
04-02 252
使用ngx-lua-zuul构建强大的API网关:技术详解与优势 项目地址:https://gitcode.com/tietang/ngx-lua-zuul 在现代微服务架构中,API网关扮演着至关重要的角色,它负责统一入口、认证授权、路由转发等任务。今天,我们要介绍的是一个基于NginxLuaJIT的API网关——ngx-lua-zuul。该项目由tietang开发,并且可以在GitCode上...
HTTP权限验证(nginx
Cartel的专栏
04-27 845
本文讲述了http服务nginx的权限验证,并用一个简单的验证程序进行说明。
nginx+lua+redis 单机模式和集群模式 lua连接redis
07-29
nginx+lua+redis单机模式是指在一个服务器上部署nginxluaredis,使用lua脚本通过nginxredis进行通信和数据操作。这种模式适用于小型应用或者测试环境,因为在单机模式下,nginxluaredis都运行在同一台...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值