在Nginx部署Web应用,如何保障后端API的安全

denglei.2024-12-27 0:09

1. 使用HTTPS和http2.0

参考:Nginx配置HTTP2.0_nginx 支持 2.0-CSDN博客

2. 设置严格的CORS策略

通过add_header指令设置CORS头。

只允许来自https://frontend.yourdomain.com的请求访问API

复制代码 
location /api/ {
    if ($http_origin ~* (https://frontend\.yourdomain\.com)) {
        add_header 'Access-Control-Allow-Origin' $http_origin;
        add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS';
        add_header 'Access-Control-Allow-Headers' 'DNT,X-CustomHeader,Keep-Alive,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type,Authorization';
    }

    if ($request_method = 'OPTIONS') {
        return 204;
    }

    proxy_pass http://backend;
}

3. 实现身份验证

对于JWT认证,后端服务负责生成和验证令牌,Nginx仅需检查令牌的存在性。为了实现这一点,可以在Nginx中添加一个自定义的Lua脚本(需要安装ngx_http_lua_module)或者直接在Nginx配置中进行简单的检查:

复制代码 
location /api/ {
    set $auth 0;
    if ($http_authorization ~ "^Bearer (.+)$") {
        set $auth 1;
    }
    if ($auth = 0) {
        return 401 "Missing or invalid Authorization header";
    }

    proxy_pass http://backend;
}

4. 限制IP地址

复制代码 
location /api/secure {
    allow 192.168.1.0/24;  # 允许的子网
    deny all;              # 拒绝其他所有
    proxy_pass http://backend;
}

5. 使用限流

防止滥用或DDoS攻击,使用limit_req模块来限制请求速率

复制代码 
http {
    limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s;

    server {
        location /api/ {
            limit_req zone=one burst=5 nodelay;
            proxy_pass http://backend;
        }
    }
}

6. 实施WAF(Web应用防火墙)

安装ModSecurity并在Nginx中启用它:

复制代码 
# 安装ModSecurity
sudo apt-get install libmodsecurity3 modsecurity-crs

# 启用ModSecurity
sudo nano /etc/nginx/modsec/modsecurity.conf-recommended

编辑/etc/nginx/sites-available/yourdomain,添加以下行以加载ModSecurity:

复制代码 
load_module modules/ngx_http_modsecurity_module.so;

server {
    ...
    modsecurity on;
    modsecurity_rules_file /etc/nginx/modsec/main.conf;
    ...
}

创建或编辑规则文件/etc/nginx/modsec/main.conf以包含OWASP Core Rule Set或其他自定义规则。

7. 日志记录和监控

确保启用了适当的日志级别,并定期审查日志文件。也可以集成第三方监控工具如ELK Stack、Prometheus等。

复制代码 
http {
    log_format main '$remote_addr - $remote_user [$time_local] "$request" '
                    '$status $body_bytes_sent "$http_referer" '
                    '"$http_user_agent" "$http_x_forwarded_for"';

    access_log /var/log/nginx/access.log main;
    error_log /var/log/nginx/error.log warn;
}

8. 更新和维护

保持系统和软件包的更新是至关重要的。使用自动化的包管理器如APT(Debian/Ubuntu)或YUM(CentOS/RHEL)来定期更新

复制代码 
# 对于Debian/Ubuntu
sudo apt-get update && sudo apt-get upgrade -y

# 对于CentOS/RHEL
sudo yum update -y

同时,可以订阅安全公告并及时应用补丁,考虑使用自动化工具如Ansible、Puppet或Chef来进行系统管理和配置部署。

相关推荐
木卫四科技1 小时前
【木卫四 CES 2026】观察:融合智能体与联邦数据湖的安全数据运营成为趋势
人工智能·安全·汽车
未来之窗软件服务8 小时前
服务器运维(二十三) 服务器安全探针封装—东方仙盟练气期
安全·仙盟创梦ide·东方仙盟·安全探针
corpse201012 小时前
Linux监控软件Monitorix 安装部署
linux·安全
飞鸟真人12 小时前
关于python -m http.server的一些安全问题
python·安全·http
用户19653306721112 小时前
【TryHackMe】JPT-文件包含
安全
橘色的喵12 小时前
嵌入式二级 Bootloader (SBL) 的设计与实现:基于裸机环境的安全固件管理
安全·bootloader·二级boot
麦聪聊数据13 小时前
MySQL 性能调优:从EXPLAIN到JSON索引优化
数据库·sql·mysql·安全·json
白山云北诗14 小时前
企业网站网络安全防护方案
安全·web安全·网络安全·ddos防护·web应用防火墙·cc防护
电报号dapp11915 小时前
NFT系统开发:在数字荒漠中铸造文明
安全·去中心化·区块链·智能合约
乾元16 小时前
企业无线的 AI 频谱与功率自动优化——从人工勘测到“可学习的无线网络”(含真实室内工程案例)
服务器·网络·人工智能·网络协议·安全·信息与通信
热门推荐
01GitHub 镜像站点02安娜的档案(Anna’s Archive) 镜像网站/国内最新可访问入口(持续更新)03Linux下V2Ray安装配置指南04Labelme从安装到标注:零基础完整指南05jdk21下载、安装(Windows、Linux、macOS)06手把手教你通过Gemini3 pro 学生认证,白用一年,手慢无!07【踩坑笔记】50系显卡适配的 PyTorch 安装08GitLab 零基础入门指南:从安装到项目管理全流程09Opencode CLI 安装成功,但是启动失败10UV安装并设置国内源