› NGINX
› NGINX Trac
› 3rd Party Modules
› Security Advisories
› CHANGES
› OpenResty
› ngx_lua
› Tengine
在线学习资源
› NGINX 开发从入门到精通
NGINX Modules
› ngx_echo
这是一个创建于 716 天前的主题,其中的信息可能已经有所发展或是发生改变。
背景:系统 A 会将 uri 放入签名方法中生成签名,有一个 uri 中的参数是包含()左右括号(生成签名的时候左右括号是%28%29 ),系统 A 调用 nginx 代理的系统 B 的服务,请求到达系统 B 后 uri 变成了左右括号导致签名不正确
我尝试直连系统 B ,签名能通过,但是走 nginx 签名就会出现上述的情况。下面是我的 nginx 配置
http {
include mime.types;
default_type application/octet-stream;
sendfile on;
keepalive_timeout 65;
server {
listen 80;
server_name localhost;
location / {
root html;
index index.html index.htm;
}
error_page 500 502 503 504 /50x.html;
location = /50x.html {
root html;
}
upstream B {
server 127.0.0.1:5300;
}
server {
listen 15300;
location / {
client_max_body_size 2048M;
client_body_buffer_size 128K;
proxy_connect_timeout 180s;
proxy_read_timeout 180s;
proxy_send_timeout 180s;
proxy_pass http://B/;
proxy_set_header Host $http_host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Original-URI $request_uri;
}
}
}
nginx.version=1.25.3
请教各位大佬我应该如何解决这个问题
 |
1
F7TsdQL45E0jmoiG 2023-11-14 17:11:17 +08:00
计算签名应该显式调用相同的编码方法
|
 |
2
trzzzz OP @morenacl 是的,签名方法都一样,但是不同的是 A 服务器签名的时候 uri 中括号是%28%29 ,但经过 nginx 代理后到达服务器 B 的 uri 中就变成了()
|
 |
3
NessajCN 2023-11-14 17:35:29 +08:00
你说的究竟是生成完的签名进 B 验证还是 B 就是签名生成服务?
|
|
4
trzzzz OP @NessajCN A 生成签名到 B 后,B 是拿 request 里面的内容进行签名后对比 A 传来的签名。签名没办法被解析出来
|
 |
5
ysc3839 2023-11-14 17:44:54 +08:00 via Android
去掉 X-Original-URI 呢?
|
 |
6
julyclyde 2023-11-14 17:52:59 +08:00
proxy_pass 那个 B 后面为什么还带了“根目录”斜线呢?
|
 |
9
yinmin 2023-11-14 21:50:59 +08:00 via iPhone
建议你参考 alipay 接口的签名方式,基于 decode 出来的 utf-8 编码进行签名
|
|
10
trzzzz OP @yinmin 主要 A 服务器的签名方法是用的 sdk ,里面是把 uri 先 encode 后再签的,这样()就会变成%28%29 。其实直连 B 服务器是签名能过,但为了负载加了 nginx 后就有()签名不过的场景。想的是在 nginx 加什么配置能解决
|
 |
11
phithon 2023-11-15 00:43:03 +08:00  1
A request URI is passed to the server as follows:
If the proxy_pass directive is specified with a URI, then when a request is passed to the server, the part of a normalized request URI matching the location is replaced by a URI specified in the directive: ``` location /name/ { proxy_pass http://127.0.0.1/remote/; } ``` If proxy_pass is specified without a URI, the request URI is passed to the server in the same form as sent by a client when the original request is processed, or the full normalized request URI is passed when processing the changed URI: ``` location /some/path/ { proxy_pass http://127.0.0.1; } ``` 加不加 trailing slash 会完全不一样。 |
|
13
F7TsdQL45E0jmoiG 2023-11-15 09:12:42 +08:00
@trzzzz 你还陷在 Nginx 里,这个和 Nginx 没关系。
|
|
15
F7TsdQL45E0jmoiG 2023-11-15 09:15:02 +08:00
@trzzzz A:参数字符串->urlencode->计算签名,发送到 B ,B 要做同样的操作参数字符串->urlencode->计算签名,不管是用 urlencode 还是 base64 等,先要保持编码一致,编码一致。
|
|
16
trzzzz OP @morenacl 是的,计算签名的时候需要保证这点。但 A 和 B 都是从 request 中取出 uri 进行计算的,经过 nginx 转发后,B 拿出的 uri 中的括号就不是%28%29 了。但直连是正常的,所以怀疑 nginx 哪里配置没对
|
|
17
F7TsdQL45E0jmoiG 2023-11-15 09:21:55 +08:00
@trzzzz B 要做 urlencode
|
Select Language