allow/deny and return
Ruslan Ermilov
ru at nginx.com
Wed Oct 16 17:25:19 UTC 2013
On Wed, Oct 16, 2013 at 01:12:29PM +0400, Anton Yuzhaninov wrote:
> On 10/15/13 16:45, Maxim Dounin wrote:
> > On Tue, Oct 15, 2013 at 04:26:32PM +0400, Anton Yuzhaninov wrote:
> >
> >> В такой конфигурации:
> >>
> >> location /closed {
> >> allow 10.1.1.1;
> >> deny all;
> >> return 200 "secret\n";
> >> }
>
> > Я, например, хорошего способа не знаю. Потому что не с первого
> > взгляда - момент в общем-то очевидный (у прочитавших документацию
> > на модуль rewrite вопросов, как мне кажется, возникнуть не
> > должно), а как это корректно рассказать не читавшим...
>
> В документации на rewrite:
> http://nginx.org/en/docs/http/ngx_http_rewrite_module.html не нашел явное
> указание на то, что директивы этого модуля выполняются до модулей access-фазы
> (ngx_http_access_module,ngx_http_auth_basic_module, ngx_http_auth_request_module).
>
> Если знать внутреннюю архитектуру nginx то это очевидно, но прочитав только
> документацию на ngx_http_rewrite_module и ngx_http_access_module догадаться
> будет сложно.
То, что в описанном тобой случае директива access "не выполняется",
можно понять, прочитав раздел "Внутреннее устройство", нюанс про
директиву limit_rate.
> Думаю можно просто добавить в начало описания ngx_http_rewrite_module маленький
> абзац про это.
Написать, что директивы модуля rewrite выполняются до директив модуля
access - это плохая идея, т.к. это не отразит сути и только запутает.
Надо донести мысль о том, что rewrite (включая ВСЕ его директивы) -
это процесс поиска location'а. При обработке запроса сначала выполняется
поиск location'а по URI, затем выполняются директивы модуля rewrite (и
только они!) для данного location'а (*), в рез-те location может измениться,
процесс повторяется. Также в процессе поиска location'а выполнение
запроса может и вовсе завершиться (return, rewrite redirect).
И лишь потом, когда найден конечный location, "выполняются" остальные
директивы, включая access-модули.
(*) Я специально выше опустил пункт про директивы rewrite на уровне
server, дабы не загромождать.
Возможно достаточно будет переформулировать это так:
< Директивы модуля ngx_http_rewrite_module обрабатываются в следующем порядке:
> Обработка запроса начинается с выполнения директив модуля ngx_http_rewrite_module.
> Директивы обрабатываются в следующем порядке:
Подробная информация о списке рассылки nginx-ru