allow/deny and return

Gena Makhomed gmm at csdoc.com
Fri Oct 18 13:18:56 UTC 2013 

On 18.10.2013 14:41, Maxim Dounin wrote:

>>> Как уже и предлагалось - методом правильного документирования того
>>> факта, что директивы модуля rewrite - это часть процесса выбора
>>> конфигурации.  И всяческие директивы allow/deny/whatever -
>>> применяются уже после того, как оный выбор случился.

>> а что делать, если необходимо, чтобы директивы модуля
>> rewrite отработали после проверок allow/deny/whatever?

> То же самое, что и в других подобных ситуациях - использовать
> другие механизмы.

а из других механизмов у нас в наличии есть только try_files.
и в этом случае добавление try_files решило проблему с if'ом.

>>> Повторяю: добавление try_files не решило проблем с if'ом.  В
>>> результате как раз с проблемами if'а - ничего не было сделано, а
>>> вместо этого усилия были потрачены на try_files и борьбу с его
>>> проблемами.  Если бы вместо добавления try_files соответствующие
>>> усилия были потрачены именно на _решение_ проблем - было бы лучше.

>> никто и не обещал, что try_files решит все проблемы с if.
>>
>> но многие случаи написания конфигурации try_files упрощает.
>>
>> причем это вне зависимости от того, есть у if проблемы или их нет.
>>
>> и во многих случаях можно обойтись try_files без использования if.

> Да-да, именно так.  И в сухом остатке мы имеем больше проблем, чем
> их было до введения директивы try_files.

если считать только количество записей в багтрекере, тогда да,
действительно так и будет: "в сухом остатке мы имеем больше
проблем, чем их было до введения директивы try_files".

если же посмотреть со стороны пользователей - в большинстве случаев 
написание конфигурации стало проще, удобнее и безглючнее, потому что
вместо фигурного выпиливания лобзиком работающей конфигурации
на основе директив if + return + error_page
+ recursive_error_pages + proxy_intercept_errors
+ fastcgi_intercept_errors + scgi_intercept_errors
+ uwsgi_intercept_errors + ...
можно взять директиву try_files с простой и понятной логикой работы,
которая подходит для большинства наиболее частоиспользуемых случаев.

даже если бы директива if всегда работала бы идеально - добавление
try_files всеравно имеет смысл из-за значительного упрощения конфига.

для решения всех проблем с if ресурсов надо потратить в десятки,
а то и в сотни раз больше, чем их было потрачено на добавление
новой директивы try_files и еще одной фазы обработки запроса.

если смотреть с точки зрения минимизации количества не закрытых
багов в багтрекере, тогда следовало бы сначала исправить все глюки
в работе директивы if и только потом уже добавлять директиву try_files

если смотреть с точки зрения максимизации удобства работы пользователей,
то имеет смысл сначала добавить директиву try_files, и только после 
этого уже браться за более сложную задачу исправления всех ошибок в 
работе диркетивы if. (вообще не уверен, что эта задача имеет решение)

>>> И это общая проблема всех подобных попыток "уменьшить количество
>>> случаев" вместо реального решения проблемы.  Решать проблему всё
>>> равно рано или поздно придётся, и откладывание этого решения -
>>> лишь ухудшает ситуацию.
>>
>> что в таком случае можно считать рельным решением проблем директивы if,
>> - чтобы не осталось ни одного глюка из http://wiki.nginx.org/IfIsEvil ?
>>
>> про проблемы директивы if говорится очень давно, но видимо эти проблемы
>> нетривиальные, раз до сих пор никому так и не удалось их реально решить
>
> Я описал правильное с моей точки зрения решение ещё при создании
> этой статьи на wiki:
>
> http://wiki.nginx.org/IfIsEvil#Why_this_happens_and_still_not_fixed
>
> : Looks like the only correct fix would be to disable non-rewrite
> : directives inside if completely. It would break many configuration
> : out there though, so wasn't done yet.
>
> Возможно, хорошим альтернативным вариантом будет вычищение всех
> проблем, которые возникают при использовании неявных location'ов.

"вычищение всех проблем, которые возникают при использовании
неявных location'ов" - это будет очень нетривиальная задача.

кстати, если проблемы с директивой if решать способом
"disable non-rewrite directives inside if completely"

тогда точно таким же способом можно решить и все проблемы c try_files,
сказав что эта директива не совместима с директивой alias, нужен root.

-- 
Best regards,
  Gena

Подробная информация о списке рассылки nginx-ru