2. 程式人生 > 其它 >Abp vNext 番外篇-疑難雜症丨nginx反向代理-部署

Abp vNext 番外篇-疑難雜症丨nginx反向代理-部署

阿新 發佈:2021-09-13

緣起

說明:名字用Abp vNext是因為這屬於我Abp vNext系列的文章,該問題其實應該屬於ids4的部署問題和abp沒啥關係。

問題源於週五晚上在和群友聊的時候聊到使用Nginx反向代理後端來做SSL,本來覺得這個問題很簡單我就直接部署了一個沒想到這就碰到問題了,我的ids4的issuer出問題了。

大家可以看下面這幅圖,我的Scheme分明是Https但是到了issuer卻變成了http。

下面是我的nginx,我把schemeX-Forwarded-For都做了配置,但是後端還是拿不到正確的scheme

初步方案

我之前我仔細閱讀過老張的ids4系列,我記得他講過這方面的東西,然後我就去翻閱了他的部落格,通過手動修改IssuerUri

來解決。

研究文件

我在官方文件看到了這麼一句話(建議不要設定此屬性,該屬性根據主機名推斷頒發者名稱),我又加以想想發現這樣寫會存在一個問題,如果我的專案像被多個域名對映豈不是直接歇菜了(當然這個是可以配置的,但是我的想法是約定大於配置,儘量不要去更改這些東西)。

查詢根源

我決定自己從源頭來看看到底什麼原因,我在IdentityServer4的原始碼中找到了下面程式碼,在此我們知道了為啥設定IssuerUri會生效,另外我們也看到GetIdentityServerOrigin中的Http來自於context.Request.Scheme;

        /// <summary>
        /// Gets the identity server issuer URI.
        /// </summary>
        /// <param name="context">The context.</param>
        /// <returns></returns>
        /// <exception cref="System.ArgumentNullException">context</exception>
        public static string GetIdentityServerIssuerUri(this HttpContext context)
        {
            if (context == null) throw new ArgumentNullException(nameof(context));

            // if they've explicitly configured a URI then use it,
            // otherwise dynamically calculate it
            var options = context.RequestServices.GetRequiredService<IdentityServerOptions>();
            var uri = options.IssuerUri;
            if (uri.IsMissing())
            {
                uri = context.GetIdentityServerOrigin() + context.GetIdentityServerBasePath();
                if (uri.EndsWith("/")) uri = uri.Substring(0, uri.Length - 1);
                if (options.LowerCaseIssuerUri)
                {
                    uri = uri.ToLowerInvariant();
                }
            }

            return uri;
        }


  public static string GetIdentityServerOrigin(this HttpContext context)
        {
            var options = context.RequestServices.GetRequiredService<IdentityServerOptions>();
            var request = context.Request;
            
            if (options.MutualTls.Enabled && options.MutualTls.DomainName.IsPresent())
            {
                if (!options.MutualTls.DomainName.Contains("."))
                {
                    if (request.Host.Value.StartsWith(options.MutualTls.DomainName, StringComparison.OrdinalIgnoreCase))
                    {
                        return request.Scheme + "://" +
                               request.Host.Value.Substring(options.MutualTls.DomainName.Length + 1);
                    }
                }
            }
            
            return request.Scheme + "://" + request.Host.Value;
        }

               /// <summary>
        /// Gets the base path of IdentityServer.
        /// </summary>
        /// <param name="context">The context.</param>
        /// <returns></returns>
        public static string GetIdentityServerBasePath(this HttpContext context)
        {
            return context.Items[Constants.EnvironmentKeys.IdentityServerBasePath] as string;
        }

尋找方案

我在部落格園找到了LouieGuo的一篇文章,他給出了一個官方issues:https://github.com/dotnet/AspNetCore.Docs/issues/2384

其實主要問題就在於proxy_pass http://172.17.0.8:8000;我們請求會被轉發,這裡就變成了http請求了,導致context.Request.Scheme拿到的就是http,解決方案是配置雙方(nginx/kestrel)的 X-Forwarded-Proto 讓其正確地識別實際使用者發出的協議是 http 還是 https。

程式碼

OnApplicationInitialization 方法中加入


            var forwardOptions = new ForwardedHeadersOptions
            {
                ForwardedHeaders = ForwardedHeaders.XForwardedFor | ForwardedHeaders.XForwardedProto,
            };

            forwardOptions.KnownNetworks.Clear();
            forwardOptions.KnownProxies.Clear();
            app.UseForwardedHeaders(forwardOptions);

反思

這是目前我的一個解決方案,這個方案說實話不是很好,因為對程式碼有汙染,希望大佬如果有更好的方案給我留言蟹蟹!

也歡迎大家閱讀我的Abp vNext系列教程

聯絡作者:加群:867095512 @MrChuJiu

相關推薦

Abp vNext -疑難雜症nginx反向代理-部署

緣起 說明:名字用Abp vNext是因為這屬於我Abp vNext系列的文章,該問題其實應該屬於ids4的部署問題和abp沒啥關係。

技術Github Action CI/CD

起源 看到.Net群裡再聊CI/CD,我就這裡分享一下我目前自己一些小東西的做法,我目前在Github有一個自己私有的組織,裡面存放了我的部分商業化專案,早期我採用Jenkins用Webhooks進行釋出部署

Springboot原始碼分析之

摘要: 大家都知道註解是實現了java.lang.annotation.Annotation介面,眼見為實,耳聽為虛,有時候眼見也不一定是真實的。

【Java學習筆記】——JDBC資料庫連線池

宣告:本文章內容主要摘選自尚矽谷宋紅康JDBC教程、《Java核心卷二》,示例程式碼部分出自本人,更多詳細內容推薦直接觀看以上教程及書籍,若有錯誤之處請指出,歡迎交流。

Vue+SpringBoot實踐(1):IDEA RESTful Api利器Http Client使用

CarmenSystem 使用教程 使用教程 Http Client是IDEA預設安裝好的外掛,用於後端自測介面的呼叫,是一個很方便的工具

Linux入門之核心管理(4)udev入門(1)

Linux入門之核心管理番外篇(4)udev入門(1)前言在上中的核心模組管理講解中,最後或多或少會留下一些疑問,那麼這些疑問就是核心模組的引數是怎麼和對應的硬體所匹配上的,而硬體又是怎麼被核心識別,並且

ffmpeg學習之路·之音視訊分析常用軟體介紹與分享

工欲善其事,必先利其器。本章將分享一些在ffmpeg學習中經常用得到的工具。

C#-SpinWait

SpinWait封裝常見旋轉邏輯。在單處理器計算機上,始終使用 \"生成\" 而不是 \"繁忙等待\",在裝有超執行緒技術的 Intel 處理器的計算機上,這有助於防止硬體執行緒不足。SpinWait 封裝了一種很好的旋轉和真正的生成。

Math++ 開發(4) - :關於訊號與槽的另一種看法

技術標籤:Qtqt Math++ 開發(4) - :關於訊號與槽的另一種看法 qt中的訊號和槽,可以近似看成Python->tkinter的command.

Python:計算圓的各項資料

技術標籤:PythonPythonpython 今天,我們來寫一個專案,它將使用math模組計算圓的各項資料。 圓有哪些資料呢?

從零開始的多程序生活之 - Python

技術標籤:Pythonpython多程序守護程序 主力大軍:從零開始的多程序生活 - Python

滲透測試思路 - CTF()

滲透測試思路 ​Another:影子 (主要記錄一下平時滲透的一些小流程和一些小經驗)

《手把手教你》系列技巧(三十一)-java+ selenium自動化測試- Actions的相關操作-(詳解教程)

1.簡介   上一中,巨集哥說的巨集哥在最後提到網站的反爬蟲機制,那麼巨集哥在自己本地做一個網頁,沒有那個反爬蟲的機制,谷歌瀏覽器是不是就可以驗證成功了,巨集哥就想驗證一下自己想法,於是寫了這一文章

《手把手教你》系列技巧(三十六)-java+ selenium自動化測試-單選和多選按鈕操作-(詳解教程)

1.簡介   前邊幾文章是巨集哥自己在本地弄了一個單選和多選的demo,然後又找了網上相關聯的例子給小夥伴或童鞋們演示了一下如何自動化測試,這一巨集哥在網上找了一個問卷調查,給小夥伴或童鞋們來演示一下。

讀Node入門有感——>【2】構建基礎的HTTP伺服器【續】【:阻塞非阻塞的理解】

阻塞與非阻塞 寫接下來的文章之前讓我們先來理解以下阻塞非阻塞與同步非同步的區別

從0到1開展效能測試必備的效能測試要點-jmeter

要點一:獲取使用者數資訊 1)調查系統當前和未來使用的使用者數系統使用者數=本系統目前註冊的使用者數,註冊使用者數並不代表他會每天並且無時無刻的使用著。

Bugku 雜項 - where is flag

Bugku 雜項,思路很奇特。 1 題目連結 buku - where is flag 題目分析 開啟壓縮包,裡面還是兩個壓縮包,出師表.rar 裡面是張加密的 png,所以密碼應該是從 key.rar 得出了。

密碼學 - Padding模式

在對於資料進行加密的時候,某些加密演算法需要明文滿足某些長度的要求,比如DES和AES等分組加密需要明文滿足是分組的倍數,但是大多數情況下,明文恰好滿足需求的概率是非常低的,在之前的實現中,我的實現均沒有考

《手把手教你》系列基礎(八十)-java+ selenium自動化測試-框架設計基礎-TestNG依賴測試-(詳解教程)

1.簡介 經過前邊幾知識點的介紹,今天巨集哥就在實際測試中應用一下前邊所學的依賴測試。這一主要介紹在TestNG中一個類中有多個測試方法的時候,多個測試方法的執行順序或者依賴關係的問題。如果不用dependsOnMe

屑博士與幹員的現實日常 第七章 凱爾希醫療?還是狙擊?()

書接上回 兔:“博士,你這些裝備是真的嗎?”德:“阿米婭,你還是太天真了,怎麼可能呢?”兔:“哦,我說的呢,為啥這玩意感覺像是玩具一樣,原來就是啊。”別說話了,保持注意力高度集中,誰是狙擊手?希:“我拿的是