nginx代理
當 webman 需要直接提供外網訪問時,建議在 webman 前增加一個 nginx 代理,這樣有以下好處。
- 靜態資源由 nginx 處理,讓 webman 專注業務邏輯處理
- 讓多個 webman 共用 80、443 端口,通過域名區分不同站點,實現單台伺服器部署多個站點
- 能夠實現 php-fpm 與 webman 架構共存
- nginx 代理 ssl 實現 https,更加簡單高效
- 能夠嚴格過濾外網一些不合法請求
nginx代理示例
upstream webman {
server 127.0.0.1:8787;
keepalive 10240;
}
server {
server_name 站點域名;
listen 80;
access_log off;
# 注意,這裡一定是 webman 下的 public 目錄,不能是 webman 根目錄
root /your/webman/public;
location ^~ / {
proxy_set_header Host $http_host;
proxy_set_header X-Forwarded-For $remote_addr;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header X-Real-IP $remote_addr;
proxy_http_version 1.1;
proxy_set_header Connection "";
if (!-e $request_filename){
proxy_pass http://webman;
}
}
# 拒絕訪問所有以 .php 結尾的檔案
location ~ \.php$ {
return 404;
}
# 允許訪問 .well-known 目錄
location ~ ^/\.well-known/ {
allow all;
}
# 拒絕訪問所有以 . 開頭的檔案或目錄
location ~ /\. {
return 404;
}
}
一般來說以上配置開發者只需要將 server_name 和 root 配置成實際值即可,其它字段不需要配置。
注意
特別注意的是,root 選項一定要配置成 webman 下的 public 目錄,千萬不要直接設定成 webman 目錄,否則你的所有檔案可能會被外網下載訪問,包括資料庫配置等敏感檔案。