当前位置：首页 > news >正文

（七）企业级高性能 WEB 服务 - HTTPS 加密

news 文章来源：https://blog.csdn.net/weixin_74962223/article/details/146102736 2025/5/11 1:39:31

在当今互联网时代，数据安全成为了每个企业和开发者必须关注的重点。尤其是对于Web服务来说，如何保障用户数据的安全传输是至关重要的。本文将深入探讨HTTPS加密的原理、Nginx的HTTPS配置，以及如何通过Nginx实现高性能的Web服务。

1. HTTPS加密：保障数据传输的安全

HTTPS（Hyper Text Transfer Protocol Secure）是HTTP的安全版本，通过在HTTP上加入SSL/TLS协议，实现了数据的加密传输。HTTPS的核心在于SSL/TLS协议，它能够确保客户端和服务器之间的通信是加密的，防止敏感信息被第三方窃取。

HTTPS的工作原理：

客户端发起HTTPS请求：客户端访问Web端的HTTPS地址，通常是443端口。
服务端配置证书：服务器必须配置一套SSL证书，证书包含公钥和私钥。
传送证书：服务器将公钥传递给客户端。
客户端解析证书：客户端验证证书的有效性，并生成一个随机值，用公钥加密后发送给服务器。
服务端解密信息：服务器用私钥解密客户端发送的随机值，后续通信通过该随机值进行对称加密。

通过这一系列步骤，HTTPS确保了数据传输的安全性，广泛应用于银行、电子邮箱等对安全性要求较高的场景。

2. Nginx的HTTPS配置

Nginx作为一款高性能的Web服务器，支持通过ngx_http_ssl_module模块实现HTTPS功能。以下是Nginx中常用的HTTPS配置参数：

ssl on | off：启用或禁用SSL功能。
listen 443 ssl http2：监听443端口，并启用HTTP/2协议。
ssl_certificate：指定SSL证书路径。
ssl_certificate_key：指定SSL私钥路径。
ssl_protocols：指定支持的SSL/TLS协议版本。
ssl_session_cache：配置SSL会话缓存，提升性能。
ssl_session_timeout：设置SSL会话的超时时间。

示例配置：

server {listen 443 ssl http2;server_name www.example.com;ssl_certificate /path/to/cert.pem;ssl_certificate_key /path/to/cert.key;ssl_protocols TLSv1.2 TLSv1.3;ssl_session_cache shared:SSL:10m;ssl_session_timeout 10m;root /var/www/html;
}

3. 自签名SSL证书的生成与使用

在某些情况下，我们可能需要使用自签名的SSL证书，尤其是在开发和测试环境中。通过OpenSSL工具，我们可以轻松生成自签名证书。

生成自签名证书的步骤：

生成CA证书：

openssl req -newkey rsa:4096 -nodes -keyout ca.key -x509 -days 3650 -out ca.crt

生成服务器证书：

openssl req -newkey rsa:4096 -nodes -keyout server.key -out server.csr
openssl x509 -req -days 3650 -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt

合并证书：
```
cat server.crt ca.crt > server.pem
```

配置Nginx使用自签名证书：

server {listen 443 ssl;server_name www.example.com;ssl_certificate /path/to/server.pem;ssl_certificate_key /path/to/server.key;root /var/www/html;
}

需要注意的是，自签名证书不会被浏览器默认信任，用户访问时会收到安全警告。可以通过将CA证书导入系统或浏览器的受信任根证书颁发机构来解决这个问题。

4. 实现HTTP自动跳转HTTPS

为了确保用户始终通过HTTPS访问网站，我们可以配置Nginx，将HTTP请求自动重定向到HTTPS。

方法一：基于302临时重定向

server {listen 80;server_name www.example.com;return 302 https://$server_name$request_uri;
}server {listen 443 ssl;server_name www.example.com;ssl_certificate /path/to/cert.pem;ssl_certificate_key /path/to/cert.key;root /var/www/html;
}

方法二：基于301永久重定向

server {listen 80;server_name www.example.com;return 301 https://$server_name$request_uri;
}server {listen 443 ssl;server_name www.example.com;ssl_certificate /path/to/cert.pem;ssl_certificate_key /path/to/cert.key;root /var/www/html;
}

301重定向会将跳转的链接缓存至本地浏览器，提升后续访问的速度。

5. Nginx的Rewrite模块：实现URL重写与重定向

Nginx的ngx_http_rewrite_module模块允许我们通过正则表达式对URL进行重写和重定向。常见的应用场景包括：

URL重写：将旧的URL结构重写为新的URL结构。
重定向：将用户请求重定向到新的URL。

示例：将旧URL重定向到新URL

server {listen 80;server_name www.example.com;location /old {rewrite ^/old/(.*)$ /new/$1 permanent;}
}

示例：根据用户设备类型重定向

server {listen 80;server_name www.example.com;if ($http_user_agent ~* "android|iphone|ipad") {rewrite ^/(.*)$ http://m.example.com/$1 redirect;}
}

6. Nginx防盗链配置

为了防止其他网站盗用本站的资源（如图片、视频等），我们可以通过Nginx的ngx_http_referer_module模块实现防盗链功能。

防盗链配置示例：

server {listen 80;server_name www.example.com;location /images {valid_referers none blocked server_names *.example.com ~\.google\. ~\.baidu\.;if ($invalid_referer) {return 403 "Forbidden Access";}}
}

通过配置valid_referers，我们可以指定允许访问资源的来源域名，防止未经授权的盗链行为。

7. 总结

通过HTTPS加密、Nginx的SSL配置、URL重写与重定向、以及防盗链等功能，我们可以构建一个高性能、安全可靠的企业级Web服务。无论是保障数据传输的安全性，还是提升用户体验，Nginx都提供了强大的工具和灵活的配置选项。

希望本文的内容能够帮助你更好地理解和应用Nginx，打造更加安全、高效的Web服务。如果你有任何问题或建议，欢迎在评论区留言讨论！

（七）企业级高性能 WEB 服务 - HTTPS 加密

1. HTTPS加密：保障数据传输的安全

2. Nginx的HTTPS配置

3. 自签名SSL证书的生成与使用

4. 实现HTTP自动跳转HTTPS

5. Nginx的Rewrite模块：实现URL重写与重定向

6. Nginx防盗链配置

7. 总结

相关文章：

（七）企业级高性能 WEB 服务 - HTTPS 加密

[HTTP协议]应用层协议HTTP从入门到深刻理解并落地部署自己的云服务(2)

MySQL(单表)知识点

HarmonyOS Next 属性动画和转场动画

使用Node.js从零搭建DeepSeek本地部署（Express框架、Ollama）

Docker 部署 MongoDB 并持久化数据

DeepSeek + 沉浸式翻译打造智能翻译助手

cdn取消接口缓存

字节跳动C++客户端开发实习生内推-抖音基础技术

OpenHarmony子系统开发编译构建指导

MySQL进阶-关联查询优化

数据结构第六节：二叉搜索树（BST）的基本操作与实现

在昇腾GPU上部署DeepSeek大模型与OpenWebUI：从零到生产的完整指南

在window终端创建docker容器的问题

掌握Kubernetes Network Policy,构建安全的容器网络

ReAct论文阅读笔记总结

Linux云计算SRE-第十七周

Python在数字货币交易中的算法设计：从策略到实践

高纬度、跨极区导航技术

用AI学编程2——python学习1

用数据唤醒深度好眠，时序数据库 TDengine 助力安提思脑科学研究

Ubuntu下MySQL的安装与使用（一）

步进电机软件细分算法解析与实践指南

pytorch retain_grad vs requires_grad

RabbitMQ消息队列中间件安装部署教程（Windows）-2025最新版详细图文教程（附所需安装包）

vue-cli3+vue2+elementUI+avue升级到vite+vue3+elementPlus+avue总结

车载以太网测试-3【Wireshark介绍】

扫雷雷雷雷雷雷雷

图片分类实战：食物分类问题（含半监督）

RuoYi框架添加自己的模块（学生管理系统CRUD）