apache和nginx强制http跳转https

nginx环境http跳转https配置

项目前期使用http，后期为了安全方面的考虑，启用了https。
项目架构：前端使用nginx作为多个tomcat实例的反向代理和负载均衡。
实际上只需要在nginx上启用https即可，使客户端与nginx之后使用https方式通信，而nginx与tomcat之间依然以http方式通信。

现在需要将之前客户端所有的http请求全部都自动重定向为https，只需要在nginx上添加相应配置即可。
如下配置实现来源于Nginx HTTP 跳转至 HTTPS，但是我都实践验证过。
另外，也加入了一些自己的理解整理而成。

方式1：使用rewrite指令

server {
    listen 80;
    server_name domain.com;
    rewrite ^(.*) https://$server_name$1 permanent;
}
server {
    listen 443 ssl;
    server_name domain.com;
    ssl on;
    ssl_certificate     /etc/nginx/ssl/domain.com.crt;
    ssl_certificate_key /etc/nginx/ssl/domain.com.crt;
    # other
}
如果此时nginx作为Tomcat的前端反向代理的话，需要将相应配置放在配置ssl的server块中。

方式2：使用return指令

server {
    listen 80;
    server_name domain.com;
    return 301 https://$server_name$request_uri;
}
server {
    listen 443 ssl;
    server_name domain.com;
    ssl on;
    ssl_certificate     /etc/nginx/ssl/domain.com.crt;
    ssl_certificate_key /etc/nginx/ssl/domain.com.crt;
    # other
}
如果此时nginx作为Tomcat的前端反向代理的话，需要将相应配置放在配置ssl的server块中。

方式三：使用error_page指令

只允许HTTP来访问时，用HTTP访问会让Nginx报497错误，然后利用error_page将链接重定向至HTTPS上。

server {
    listen 80;
    listen 443 ssl;
    server_name domain.com;
    ssl on;
    ssl_certificate     /etc/nginx/ssl/domain.com.crt;
    ssl_certificate_key /etc/nginx/ssl/domain.com.crt;
    # other
    error_page 497 https://$server_name$request_uri;
}
使用error_page指令时，将http和https的监听配置写在同一个server块中，对应的其他配置也需要在该server配置块中完成。
需要注意的是，此时需要将error_page指令语句写在最后，否则不能生效。

apache环境http跳转至https配置

一. 简单实例介绍

一般来说,apache配置好http和https后,如果想要做http强转到https,需要设置url重定向规则,大致需要下面几个步骤即可完成配置:

1）在httpd.conf文件里使下面模块生效
[root@back ~]# cat /usr/local/apache/conf/httpd.conf
.....
LoadModule ssl_module modules/mod_ssl.so                      #如果使用https证书，这个模块功能一定要打开！
.....
LoadModule rewrite_module modules/mod_rewrite.so              #如果要http强转到https，这个模块功能一定要打开！

2）httpd.conf配置文件或者是在httpd-vhost.conf文件里修改
[root@back ~]# cat /usr/local/apache/conf/httpd.conf
.......
DocumentRoot "/data/vhosts"
<Directory "/data/vhosts">
    Options FollowSymLinks MultiViews Includes
    AllowOverride All
    Require all granted
</Directory>

3）在你的网站根目录下面添加该文件".htaccess"目录访问控制文件，并添加如下内容：
RewriteEngine on         
RewriteBase /            
RewriteCond %{SERVER_PORT} !^443$   
RewriteRule ^.*$ https://%{SERVER_NAME}%{REQUEST_URI} [L,R]   

含义是这样的：为了让用户访问传统的http://转到https://上来，用了一下rewrite规则:
第一句：启动rewrite引擎
第三句：rewrite的条件是访问的服务器端口不是443端口
第四句：这是正则表达式，^是开头，$是结束，/?表示有没有/都可以（0或1个），(.*)是任何数量的任意字符
整句的意思是讲：启动rewrite模块，将所有访问非443端口的域名请求，url地址内容不变，将http://变成https://。

下面这个是我自己的实际代码：
RewriteEngine on  ##开启重定向
RewriteBase /
RewriteCond %{SERVER_PORT} !^443$  ###非443的端口的流量，经我测试即使没有这句代码，下面那句也是直接重定向将所有的域名（因为我是两个域名指向这个网站目录）跳转到下面的https网站，刚好两个域名同一个网站内容而我又知买了一个网站https。
RewriteRule ^(.*) https://www.youadmin.com/ [L]

上面的配置实现了将所有域名的http跳转为https,如果只是针对某一个具体的url的https跳转,则配置情况会有所不同,如下:

只要求访问http://bo.kevin.com/beijing/ 时强制跳转到https://bo.kevin.com/beijing/,其他的url访问时都不做http到https的强转!
在.htaccess文件中添加下面内容:

[root@docker-test2 web]# cat .htaccess
<IfModule mod_rewrite.c>
RewriteEngine on
RewriteBase /
RewriteCond %{SERVER_PORT} 80
RewriteCond %{HTTP_HOST} ^bo.kevin.com/beijing/ [NC]
RewriteRule ^(.*)$ https://bo.kevin.com/beijing/ [R,L]
</IfModule>

上面的配置,就实现了只是针对http://bo.kevin.com/beijing/这一个单独的url做https的强制跳转,其他url访问时都不做跳转!

当然,除了上面的方法,还有其他的配置可以实现,比如通过匹配目录规则实现跳转需求,下面都会介绍到.

二. Apache RewriteRule跳转规则参数

Apache模块mod_rewrite提供了一个基于正则表达式分析器的重写引擎来实时重写URL请求。它支持每个完整规则可以拥有不限数量的子规则以及附加条件规则的灵活而且强大的URL操作机制。此URL操作可以依赖于各种测试，比如服务器变量、环境变量、HTTP头、时间标记，甚至各种格式的用于匹配URL组成部分的查找数据库。

mod_rewrite模块可以操作URL的所有部分(包括路径信息部分)，在服务器级的(httpd.conf)和目录级的(.htaccess)配置都有效，还可以生成最终请求字符串。此重写操作的结果可以是内部子处理，也可以是外部请求的转向，甚至还可以是内部代理处理。

以下重点介绍下RewriteRule 的规则以及参数说明。RewriteRule指令是重写引擎的根本。此指令可以多次使用。每个指令定义一个简单的重写规则。这些规则的定义顺序尤为重要——在运行时，规则是按这个顺序逐一生效的。

配置格式:

RewriteRule Pattern Substitution [flags]

1) Pattern是一个作用于当前URL的perl兼容的正则表达式。

"当前URL"是指该规则生效时刻的URL的值。它可能与被请求的URL截然不同，因为其他规则可能在此之前已经发生匹配并对它做了改动。

2) Substitution是当原始URL与Pattern相匹配时，用来替代(或替换)的字符串。除了纯文本，还可以包含：

-  对Pattern的反向引用($N)
-  对最后匹配的RewriteCond的反向引用(%N)
-  规则条件测试字符串(%{VARNAME})中的服务器变量
-  映射函数调用(${mapname:key|default})

3) [flags]标记作为RewriteRule指令的第三个参数，是一个包含以逗号分隔的下列标记的列表：

3.1) ‘chain|C‘(链接下一规则)

此标记使当前规则与下一个规则相链接。它产生这样的效果：
如果一个规则被匹配，则继续处理其后继规则，也就是这个标记不起作用；
如果该规则不被匹配，则其后继规则将被跳过。

比如:

在一个目录级规则中执行一个外部重定向时，你可能需要删除".www"(此处不应该出现".www")。
‘cookie|CO=NAME:VAL:domain[:lifetime[:path]]‘(设置cookie)：在客户端设置一个cookie。cookie的名称是NAME，值是VAL。
domain是该cookie的域，比如‘.apache.org‘，可选的lifetime是cookie的有效期(分钟)，可选的path是cookie的路径。

3.2) ‘env|E=VAR:VAL‘(设置环境变量)

此标记将环境变量VAR的值设为VAL，VAL可以包含可扩展的正则表达式反向引用($N和%N)。此标记可以多次使用以设置多个变量。
这些变量可以在其后许多情况下被间接引用，通常是在XSSI(<!--#echo var="VAR"-->)或CGI($ENV{‘VAR‘})中，也可以在后继的
RewriteCond指令的CondPattern参数中通过%{ENV:VAR}引用。使用它可以记住从URL中剥离的信息。

3.3) ‘forbidden|F‘(强制禁止URL)

强制禁止当前URL，也就是立即反馈一个HTTP响应码403(被禁止的)。使用这个标记，可以链接若干个RewriteConds来有条件地阻塞某些URL。

3.4) ‘gone|G‘(强制废弃URL)

强制当前URL为已废弃，也就是立即反馈一个HTTP响应码410(已废弃的)。使用这个标记，可以标明页面已经被废弃而不存在了。

3.5) ‘handler|H=Content-handler‘(强制指定内容处理器)
强自制定目标文件的内容处理器为Content-handler。例如，用来模拟mod_alias模块的ScriptAlias指令，以强制映射文件夹内的所有文件都
由"cgi-script"处理器处理。

3.6) ‘last|L‘(结尾规则)

立即停止重写操作，并不再应用其他重写规则。它对应于Perl中的last命令或C语言中的break命令。
这个标记用于阻止当前已被重写的URL被后继规则再次重写。例如，使用它可以重写根路径的URL(‘/‘)为实际存在的URL(比如：‘/e/www/‘)。

3.7) ‘next|N‘(从头再来)

重新执行重写操作(从第一个规则重新开始)。此时再次进行处理的URL已经不是原始的URL了，而是经最后一个重写规则处理过的URL。
它对应于Perl中的next命令或C语言中的continue命令。此标记可以重新开始重写操作(立即回到循环的开头)。但是要小心，不要制造死循环！

3.8) ‘nocase|NC‘(忽略大小写)

它使Pattern忽略大小写，也就是在Pattern与当前URL匹配时，‘A-Z‘和‘a-z‘没有区别。

3.9) ‘noescape|NE‘(在输出中不对URI进行转义)

此标记阻止mod_rewrite对重写结果应用常规的URI转义规则。 一般情况下，特殊字符(‘%‘, ‘$‘, ‘;‘等)会被转义为等值的十六进制编码(‘%25‘, ‘%24‘, ‘%3B‘等)。
此标记可以阻止这样的转义，以允许百分号等符号出现在输出中，比如：RewriteRule /foo/(.*) /bar?arg=P1\%3d$1 [R,NE] ，可以使‘/foo/zed转向到一个安全的请求‘/bar?arg=P1=zed‘。

3.10) ‘nosubreq|NS‘(不对内部子请求进行处理)

在当前请求是一个内部子请求时，此标记强制重写引擎跳过该重写规则。比如，在mod_include试图搜索目录默认文件(index.xxx)时，Apache会在内部产生子请求。对于子请求，重写规则不一定有用，而且如果整个规则集都起作用，它甚至可能会引发错误。所以，可以用这个标记来排除某些规则。
使用原则：如果你为URL添加了CGI脚本前缀，以强制它们由CGI脚本处理，但对子请求处理的出错率(或者资源开销)很高，在这种情况下，可以使用这个标记。

3.11) ‘proxy|P‘(强制为代理)

此标记使替换成分被内部地强制作为代理请求发送，并立即中断重写处理，然后把处理移交给mod_proxy模块。
你必须确保此替换串是一个能够被mod_proxy处理的有效URI(比如以http://hostname开头)，否则将得到一个代理模块返回的错误。
使用这个标记，可以把某些远程成分映射到本地服务器域名空间，从而增强了ProxyPass指令的功能。
注意：要使用这个功能，必须已经启用了mod_proxy模块。