实现nginx代理层做签名验证

原创 于 2025-05-12 11:32:54 发布 · 656 阅读 · 10 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#nginx #运维

要在nginx代理层做签名验证并由Node.js 执行 JS 脚本(例如签名校验逻辑),你可以按如下步骤实现:

🌐 一、架构说明

  • 客户端请求 → Nginx → Node.js 校验签名脚本 → 放行或拒绝请求
  • nginx通过**auth_request**模块将请求交给Node.js验证签名,结果决定是否转发到后端。

🔐 二、签名验证整体流程

步骤 1:客户端请求带签名参数

GET /api/data?timestamp=1715500000&sign=abc123 HTTP/1.1
Host: yourdomain.com

步骤 2:nginx 配置 auth_request(子请求去验证签名)

server {
    listen 80;
    server_name yourdomain.com;

    location /api/ {
        auth_request /auth;  # 调用子请求去验证签名
        auth_request_set $auth_status $upstream_status;

        proxy_pass http://backend_server;
    }

    location = /auth {
        internal;
        proxy_pass http://127.0.0.1:3000/verify-signature;  # Node.js 校验签名接口
        proxy_pass_request_body off;
        proxy_set_header Content-Length "";
        proxy_set_header X-Original-URI $request_uri;
    }
}

步骤 3:Node.js 实现 /verify-signature 接口

假设你已有 JS 脚本 encrpt.js,可以通过 vm 模块动态执行。

verify-signature.js 示例
const http = require('http');
const url = require('url');
const fs = require('fs');
const vm = require('vm');

// 加载签名脚本
const signScript = fs.readFileSync('./encrpt.js', 'utf8');
const sandbox = {};
vm.createContext(sandbox);
vm.runInContext(signScript, sandbox);

function verifySignature(query) {
    const { sign, ...params } = query;

    // 假设签名算法为 sandbox.getSign(params)
    const expectedSign = sandbox.getSign(params);
    return expectedSign === sign;
}

const server = http.createServer((req, res) => {
    if (req.url.startsWith('/verify-signature')) {
        const parsedUrl = url.parse(req.url, true);
        const isValid = verifySignature(parsedUrl.query);

        if (isValid) {
            res.writeHead(200);
            res.end('OK');
        } else {
            res.writeHead(401);
            res.end('Unauthorized');
        }
    } else {
        res.writeHead(404);
        res.end('Not Found');
    }
});

server.listen(3000, () => {
    console.log('Signature verifier running on http://localhost:3000');
});

步骤 4:测试

  • 正确签名时,nginx 子请求返回 200,主请求放行;
  • 错误签名时,nginx 子请求返回 401,主请求被拒绝。

✅ 补充建议

  • 使用 crypto 代替纯 JS 算法更安全(如 HMAC SHA256)
  • 签名参数中加入 timestampnonce 防重放攻击
  • auth_request 子请求应避免携带过多 headers

🔐 三、Nginx + Node.js 签名验证项目结构示例

以下是一个完整的 Nginx + Node.js 签名验证项目结构示例,适用于在 Nginx 层对 API 请求进行签名校验,Node.js 提供校验逻辑的方案。

📁 项目结构

sign-proxy-project/
├── nginx/
│   └── nginx.conf                  # Nginx 配置文件
├── node-sign-server/
│   ├── encrpt.js                   # JS 签名算法逻辑
│   ├── verify-signature.js         # Node.js HTTP 校验服务
│   └── package.json                # Node.js 依赖配置
└── README.md

📘 说明

encrpt.js — 签名逻辑(例:HMAC)

const crypto = require('crypto');

function getSign(params, secret = 'your-secret-key') {
    const sortedKeys = Object.keys(params).sort();
    const str = sortedKeys.map(k => `${k}=${params[k]}`).join('&');
    return crypto.createHmac('sha256', secret).update(str).digest('hex');
}

// 暴露函数给 vm 使用
this.getSign = getSign;

verify-signature.js — Node.js 签名校验服务

const http = require('http');
const url = require('url');
const fs = require('fs');
const vm = require('vm');

// 加载加密脚本
const code = fs.readFileSync(__dirname + '/encrpt.js', 'utf8');
const sandbox = {};
vm.createContext(sandbox);
vm.runInContext(code, sandbox);

// 签名校验函数
function verify(query) {
    const { sign, ...params } = query;
    const expected = sandbox.getSign(params);
    return expected === sign;
}

// 启动服务
http.createServer((req, res) => {
    if (req.url.startsWith('/verify-signature')) {
        const parsed = url.parse(req.url, true);
        if (verify(parsed.query)) {
            res.writeHead(200);
            res.end('OK');
        } else {
            res.writeHead(401);
            res.end('Invalid Signature');
        }
    } else {
        res.writeHead(404);
        res.end('Not Found');
    }
}).listen(3000, () => {
    console.log('Signature server running at http://localhost:3000');
});

nginx.conf — Nginx 配置示例

events {}

http {
    upstream backend_server {
        server 127.0.0.1:8000;
    }

    server {
        listen 8080;

        location /api/ {
            auth_request /auth;
            proxy_pass http://backend_server;
        }

        location = /auth {
            internal;
            proxy_pass http://127.0.0.1:3000/verify-signature;
            proxy_pass_request_body off;
            proxy_set_header Content-Length "";
            proxy_set_header X-Original-URI $request_uri;
        }
    }
}

package.json(Node.js 项目)

{
  "name": "node-sign-server",
  "version": "1.0.0",
  "main": "verify-signature.js",
  "dependencies": {}
}

npm init -y 初始化即可。

▶️ 启动方式

  1. 启动 Node 服务:

    cd node-sign-server
node verify-signature.js

  2. 启动 Nginx(使用本地 nginx 并加载配置):

    nginx -c /full/path/to/nginx.conf

  3. 发请求测试:

    curl "http://localhost:8080/api/data?timestamp=1715500000&foo=bar&sign=xxx"
使用Nginx进行基本身份验证的方法
IbcVue的博客
09-26 817
通过使用Nginx的基本身份验证功能,你可以在Web站点上实现强制用户认证的功能。通过按照上述步骤安装Nginx,创建密码文件,配置Nginx并重启服务,你可以轻松地为你的Web站点添加基本身份验证。通过使用Nginx的基本身份验证功能,你可以要求用户通过用户名和密码进行认证,然后才能访问你的Web站点。现在,你可以尝试访问你的Web站点。找到Nginx的配置文件,通常位于/etc/nginx/nginx.conf或/etc/nginx/conf.d/default.conf。首先,你需要安装Nginx
使用NGINX作为HTTPS正向代理服务器
阿里云云栖号
06-24 8145
NGINX主要设计作为反向代理服务器,但随着NGINX的发展,它同样能作为正向代理的选项之一。正向代理本身并不复杂,而如何代理加密的HTTPS流量是正向代理需要解决的主要问题。本文将介绍利用NGINX来正向代理HTTPS流量两种方案,及其使用场景和主要问题。 HTTP/HTTPS正向代理的分类 简单介绍下正向代理的分类作为理解下文的背景知识: 按客户端有无感知的分类 普通代理:在客户端需要...
nginx验证 --自签名https Basic Auth
开开的博客
09-10 1350
1.生成自签名证书 1.1:我们需要为服务端和客户端准备私钥和公钥: //生成服务器端私钥 openssl genrsa -out server.key 1024 //生成服务器端公钥 openssl rsa -in server.key -pubout -out server.pem 1.2:生成CA证书 // 生成 CA 私钥 openssl genrsa -out ca.key 1024 openssl req -new -key ca.key -out ca.csr 注.
OpenResty使用Lua大全(十一)实战: nginx实现接口签名安全认证
秃了也弱了
03-20 1987
我们会发现,如果我获取了你完整的链接,一直使用你的key和sign和一样的参数不就可以正常获取数据了!是的,仅仅是如上的优化是不够的。如上,优化后的请求多了key和sign参数,这样请求的时候就需要合法的key和正确签名sign才可以获取产品数据。通过上面的案例,我们可以看出,安全的关键在于参与签名的secret,整个过程中secret是不参与通信的,上述的Sign签名的方式能够在一定程度上防止信息被篡改和伪造,保障通信的安全,这里使用的是MD5进行加密,这样就算被人拿走完整的请求链接也是无效的。
25.在 Nginx 中设置身份验证
我的博客,不一样的自我表达
05-12 644
🍺当我们使用 Nginx 时,碰巧我们想要限制对某些 URL 和/或端点的访问。因此,为此,我们需要在 Nginx 中设置身份验证,这就是我们今天将要看到的。所以在你的配置文件中,像下面的例子一样添加auth_basic&参数,它应该是好的!所以在你的配置文件中,像下面的例子一样添加auth_basic&参数,它应该是好的!当我们使用 Nginx 时,碰巧我们想要限制对某些 URL 和/或端点的访问。因此,为此,我们需要在 Nginx 中设置身份验证,这就是我们今天将要看到的。使用 htpasswd。
PKI - 借助Nginx实现_客户端使用自签证书供服务端验证
小工匠
02-11 8195
签名证书可以用于验证客户端的身份。通过客户端提供的证书,服务端可以确保连接方是合法的客户端,并且拥有该证书对应的私钥。使用自签名证书的客户端可以与服务端建立加密的通信通道。客户端的证书中包含了公钥,可以用于加密数据传输,保护数据的机密性。通过客户端的证书验证,服务端可以确保与客户端直接通信,防止中间人攻击。如果客户端提供的证书无效或不匹配,服务端会拒绝连接,从而保护通信的安全性。服务端可以根据客户端提供的证书对其进行授权访问。
Nginx,正向代理
qq_42969817的博客
01-30 1105
本期内容总结了NGINX利用HTTP CONNECT隧道和NGINX stream两种方式HTTPS正向代理的原理,环境搭建,使用场景和主要问题,希望给大家在各种场景的正向代理时提供参考。
Nginx签名证书的配置
xtkinglong的专栏
08-19 6438
配置了需要输入密码的key后,nginx一直启动不成功,使用的是centos7(PS:不知道和版本什么的有关系没)有如下两种方法进行签名,通过私钥进行签名,输入密码;签名:使用私钥key与公钥csr进行证书server.crt生成的过程称为签名。因为浏览器内置了CA颁发的证书,我们是使用自签名进行证书的生成。需要输入密码,刚生成私钥key设置的,111111;如果采用4.2,则不用。然后将key配置改为3、生成解密的私钥key,nginx成功启动。吾日更日省吾身,软件的世界话不多说,撸起袖子敲代码,即可!
13. Nginx 访问认证
D的博客
06-11 1854
案例测试
nginx的用户认证
qq_34953582的博客
09-10 859
nginx的用户认证
NGINX文件签名下载验证服务
Langeldep的专栏
03-02 4905
在WEB架构中经常会遇到私密文件下载服务,比如网盘、OA、邮箱等等。但是大文件用动态语言来验证权限并输出是非常消耗性能的事情。今天用Nginx+PHP实现了简单的文件签名下载服务(感谢同事Toad的辛苦调试)。 原理就是业务给用户的下载地址是真实文件的下载地址加上授权签名(Signature),当用户的下载请求到服务器时,用PHP验证签名的有效性和权限,并输出是否可以下载的HTTP头。如果可以下
Nginx(24)-Nginx Plus增强功能之身份验证JWT
davidwkx的博客
12-13 2331
使用NGINX Plus,可以使用JWT身份验证来控制对资源的访问。JWT 规范是 OpenID Connect 的重要基础,它为 OAuth 2.0 生态系统提供了单点登录令牌。JWT 本身还可以用作身份验证凭证,相比传统 API 密钥,它提供了一种更好的对基于 Web 的 API 的访问控制。API和微服务的部署者也在转向JWT标准,因为它的简单性和灵活性。使用JWT身份验证,客户端提供一个JSON Web令牌,该令牌将根据本地密钥文件或远程服务进行验证
NGINX--5】身份验证
qq11771258的博客
11-24 2998
NGINX Plus 的 HTTP JWT 身份验证模块支持验证符合 RFC JSON Web Signature 规范的 JWT,允许任何使用 JWT 的 SSO 授权立即在 NGINX Plus 中进行验证。auth_jwt 指令还可用于从继承的配置中消除所需的 JWT 身份验证的影响。在上面的示例中,子请求的位置被锁定,以确保仅响应内部的 NGINX Plus 请求。如果您的身份验证服务未请求请求正文,则可以使用 proxy_pass_request_body 指令删除请求正文,如上所示。
Nginx静态资源增加权限验证
最新发布
qq_38254635的博客
05-09 1378
在互联网环境中,Nginx代理静态资源时存在信息泄露风险,尤其是文件存储路径有规律时。为增强安全性,本文提出了两种权限验证方案。方式一适用于二次开发项目,通过系统登录后存储的token进行鉴权,Nginx在访问文件时调用权限认证接口,验证成功则返回文件,否则拒绝访问。方式二适用于项目初期,引入鉴权码作为防火墙,用户需先调用权限获取接口获取鉴权码,再通过Nginx访问文件。两种方式均需调整Nginx配置,并确保Nginx安装了http_auth_request_module模块。本文还提供了前后端代码示例及N
Nginx加某个接口的登录验证
承缘丶
06-12 1464
Nginx加某个接口的登录验证,采用了ngx_http_auth_basic_module模块
OpenResty,Nginx实现接口验签与黑名单控制
qq_41633199的博客
04-11 1131
openresty,nginx,接口验签
Nginx 登录验证
GG Bond 的博客
06-13 2078
nginx 网页登录验证
nginx的启动、停止、重载配置、验证配置
热门推荐
YHJ
06-13 7万+
【1】启动 启动nginx系统方式: (1)命令 nginx -c /usr/local/nginx/conf/nginx.conf 说明:-c 参数指定运行nginx系统的自定义配置文件。 若加:使用自定义配置文件。实例请参见下文【停止】nginx系统的方式贴图。 若不加:使用默认的nginx.conf(一般位于/usr/local/conf/nginx.conf,具体以实际情况为准) 如下实例效果: 即nginx系统选择默认的配置文件 (2)shell脚本 新建start.s
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值