nginx 代理https后，应用redirect https变成http-chinaboywg-ChinaUnix博客

chinaboy小宝chinaboy007.blog.chinaunix.net

首页　| 　博文目录　| 　关于我

chinaboywg

博客访问： 2851435
博文数量： 348
博客积分： 2907
博客等级：中校
技术积分： 2272
用户组：普通用户
注册时间： 2010-03-12 09:16

个人简介

专注 K8S研究

文章分类

全部博文（348）

elk（2）
docker（5）
error（0）
zabbix（21）
haproxy（2）
linux（11）
redis（2）
lvs（9）
squid（8）
nagios（4）
puppet（6）
html（1）
nginx（45）
apache（3）
mysql（65）
php（0）
python（114）

pycharm（1）

pip（1）

requests（1）

requests（0）

urllib（0）

logging（1）

flask（0）

lib（0）

pyqt4（14）

django（7）

beautifulsoup（11）

scrapy（3）

string（6）

pexpect（4）
shell（19）
linux（25）
other（4）
未分配的博文（2）

文章存档

2019年（22）

2018年（57）

2016年（2）

2015年（27）

2014年（33）

2013年（190）

2011年（3）

2010年（14）

我的朋友

相关博文

nginx 代理https后，应用redirect https变成http

分类：系统运维

2018-08-21 11:12:38

原文地址：http://blog.sina.com.cn/s/blog_56d8ea900101hlhv.html

情况说明
nginx配置https，tomcat正常http接受nginx转发。
nginx 代理https后，(java代码redirect地址)应用redirect https变成http

情况类似

原因分析：

经过nginx代理后用的spring mvc的redirect，

其中： request.getScheme() return http but not https.

浏览器调整的地址变成http

解决办法：http://han.guokai.blog.163.com/blog/static/136718271201211631456811/
在代理模式下，Tomcat 如何识别用户的直接请求（URL、IP、https还是http )？
在透明代理下，如果不做任何配置Tomcat 认为所有的请求都是 Nginx 发出来的，这样会导致如下的错误结果：

    request.getScheme()  //总是 http，而不是实际的http或https
    request.isSecure()  //总是false（因为总是http）
    request.getRemoteAddr()  //总是 nginx 请求的 IP，而不是用户的IP
    request.getRequestURL()  //总是 nginx 请求的URL 而不是用户实际请求的 URL
    response.sendRedirect( 相对url )  //总是重定向到 http 上（因为认为当前是 http 请求）

如果程序中把这些当实际用户请求做处理就有问题了。解决方法很简单，只需要分别配置一下 Nginx 和 Tomcat 就好了，而不用改程序。
配置 Nginx 的转发选项：

proxy_set_header       Host $host;
proxy_set_header  X-Real-IP  $remote_addr;
proxy_set_header  X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto  $scheme;

配置Tomcat server.xml 的 Engine 模块下配置一个 Value：
Valve className="org.apache.catalina.valves.RemoteIpValve" remoteIpHeader="X-Forwarded-For" protocolHeader="X-Forwarded-Proto" protocolHeaderHttpsValue="https"/

配置双方的 X-Forwarded-Proto 就是为了正确地识别实际用户发出的协议是 http 还是 https。X-Forwarded-For 是为了获得实际用户的 IP。
这样以上5项测试就都变为正确的结果了，就像用户在直接访问 Tomcat 一样。

后记：
上面https到http解决办法对context引导还是会出问题，
比如输入会转向到 ,
http情况下：输入会返回一个302到/然后正常访问。

解决办法：
# re-write redirects to http as to https, example: /home
proxy_redirect http://

阅读(1207) | 评论(0) | 转发(0) |

上一篇：haproxy代理https配置方法

下一篇：nginx 301 302跳转配置方法与总结

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6