在Nginx部署Web应用,如何保障后端API的安全

denglei.2024-12-27 0:09

1. 使用HTTPS和http2.0

参考:Nginx配置HTTP2.0_nginx 支持 2.0-CSDN博客

2. 设置严格的CORS策略

通过add_header指令设置CORS头。

只允许来自https://frontend.yourdomain.com的请求访问API

复制代码 
location /api/ {
    if ($http_origin ~* (https://frontend\.yourdomain\.com)) {
        add_header 'Access-Control-Allow-Origin' $http_origin;
        add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS';
        add_header 'Access-Control-Allow-Headers' 'DNT,X-CustomHeader,Keep-Alive,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type,Authorization';
    }

    if ($request_method = 'OPTIONS') {
        return 204;
    }

    proxy_pass http://backend;
}

3. 实现身份验证

对于JWT认证,后端服务负责生成和验证令牌,Nginx仅需检查令牌的存在性。为了实现这一点,可以在Nginx中添加一个自定义的Lua脚本(需要安装ngx_http_lua_module)或者直接在Nginx配置中进行简单的检查:

复制代码 
location /api/ {
    set $auth 0;
    if ($http_authorization ~ "^Bearer (.+)$") {
        set $auth 1;
    }
    if ($auth = 0) {
        return 401 "Missing or invalid Authorization header";
    }

    proxy_pass http://backend;
}

4. 限制IP地址

复制代码 
location /api/secure {
    allow 192.168.1.0/24;  # 允许的子网
    deny all;              # 拒绝其他所有
    proxy_pass http://backend;
}

5. 使用限流

防止滥用或DDoS攻击,使用limit_req模块来限制请求速率

复制代码 
http {
    limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s;

    server {
        location /api/ {
            limit_req zone=one burst=5 nodelay;
            proxy_pass http://backend;
        }
    }
}

6. 实施WAF(Web应用防火墙)

安装ModSecurity并在Nginx中启用它:

复制代码 
# 安装ModSecurity
sudo apt-get install libmodsecurity3 modsecurity-crs

# 启用ModSecurity
sudo nano /etc/nginx/modsec/modsecurity.conf-recommended

编辑/etc/nginx/sites-available/yourdomain,添加以下行以加载ModSecurity:

复制代码 
load_module modules/ngx_http_modsecurity_module.so;

server {
    ...
    modsecurity on;
    modsecurity_rules_file /etc/nginx/modsec/main.conf;
    ...
}

创建或编辑规则文件/etc/nginx/modsec/main.conf以包含OWASP Core Rule Set或其他自定义规则。

7. 日志记录和监控

确保启用了适当的日志级别,并定期审查日志文件。也可以集成第三方监控工具如ELK Stack、Prometheus等。

复制代码 
http {
    log_format main '$remote_addr - $remote_user [$time_local] "$request" '
                    '$status $body_bytes_sent "$http_referer" '
                    '"$http_user_agent" "$http_x_forwarded_for"';

    access_log /var/log/nginx/access.log main;
    error_log /var/log/nginx/error.log warn;
}

8. 更新和维护

保持系统和软件包的更新是至关重要的。使用自动化的包管理器如APT(Debian/Ubuntu)或YUM(CentOS/RHEL)来定期更新

复制代码 
# 对于Debian/Ubuntu
sudo apt-get update && sudo apt-get upgrade -y

# 对于CentOS/RHEL
sudo yum update -y

同时,可以订阅安全公告并及时应用补丁,考虑使用自动化工具如Ansible、Puppet或Chef来进行系统管理和配置部署。

相关推荐
终焉暴龙王4 小时前
CTFHub web进阶 php Bypass disable_function通关攻略
开发语言·安全·web安全·php
就改了5 小时前
Nginx 动静分离配置(详细版)
nginx
qq_4309085712 小时前
网络安全-机遇与挑战
安全
未来之窗软件服务15 小时前
基于 Nginx 与未来之窗防火墙构建下一代自建动态网络防护体系—仙盟创梦IDE
网络·ide·nginx·服务器安全·仙盟创梦ide·东方仙盟
先生沉默先15 小时前
Docker常用命令详解:以Nginx为例
nginx·docker
安 当 加 密18 小时前
守护汽车“空中升级“:基于HSM/KMS的安全OTA固件签名与验证方案
安全·汽车
大咖分享课1 天前
多租户系统中的安全隔离机制设计
人工智能·安全·安全隔离
荔枝吻1 天前
软件异常读写威胁硬盘安全:从过往案例到防护之道
安全·硬盘
小马爱打代码1 天前
Spring Boot 接口安全设计:接口限流、防重放攻击、签名验证
网络·spring boot·安全
苹果醋31 天前
iview中实现点击表格单元格完成编辑和查看(span和input切换)
运维·vue.js·spring boot·nginx·课程设计
热门推荐
01Qwen3-Coder 快速上手教程 | Qwen Code + Claude Code02全球最强模型Grok4,国内已可免费使用!(附教程)03vue数据变化但页面不变04KGG转MP3工具|非KGM文件|解密音频05sqli-labs 靶场 less-8、9、10 第八关到第十关详解:布尔注入,时间注入06扣子开源本地部署教程 丨Coze智能体小白喂饭级指南07干翻 Typora!MilkUp:完全免费的桌面端 Markdown 编辑器!08【2025.7.18】更新vscode后所有.vue文件template标签后报红的临时解决办法,Vue - Official 插件3.0.2导致09ChatGPT Agent 完全使用指南:2025年7月最新功能详解10《魔兽世界》提示lua警告的含义及解决方法