簡(jiǎn)介

在官網(wǎng)上對(duì) OpenResty 是這樣介紹的（http://openresty.org）：

“OpenResty 是一個(gè)基于 Nginx 與 Lua 的高性能 Web 平臺(tái)，其內(nèi)部集成了大量精良的 Lua 庫(kù)、第三方模塊以及大多數(shù)的依賴項(xiàng)。用于方便地搭建能夠處理超高并發(fā)、擴(kuò)展性極高的動(dòng)態(tài) Web 應(yīng)用、Web 服務(wù)和動(dòng)態(tài)網(wǎng)關(guān)?！?/p>

“OpenResty 通過(guò)匯聚各種設(shè)計(jì)精良的 Nginx 模塊（主要由 OpenResty 團(tuán)隊(duì)自主開(kāi)發(fā)），從而將 Nginx 有效地變成一個(gè)強(qiáng)大的通用 Web 應(yīng)用平臺(tái)。這樣，Web 開(kāi)發(fā)人員和系統(tǒng)工程師可以使用 Lua 腳本語(yǔ)言調(diào)動(dòng) Nginx 支持的各種 C 以及 Lua 模塊，快速構(gòu)造出足以勝任 10K 乃至 1000K 以上單機(jī)并發(fā)連接的高性能 Web 應(yīng)用系統(tǒng)。”

“OpenResty 的目標(biāo)是讓你的 Web 服務(wù)直接跑在 Nginx 服務(wù)內(nèi)部，充分利用 Nginx 的非阻塞 I/O 模型，不僅僅對(duì) HTTP 客戶端請(qǐng)求，甚至于對(duì)遠(yuǎn)程后端諸如 MySQL、PostgreSQL、Memcached 以及 Redis 等都進(jìn)行一致的高性能響應(yīng)?！?/p>

從以上官網(wǎng)描述里我們可以知道，OpenResty 官網(wǎng)對(duì)其定位是以 Nginx 為核心集成 Lua，打造一個(gè)兼具開(kāi)發(fā)效率和高性能的服務(wù)端開(kāi)發(fā)平臺(tái)。

OpenResty 的核心是基于 Nginx 的一個(gè) C 模塊（lua-Nginx-module），該模塊將 LuaJIT 嵌入到 Nginx 服務(wù)器中，并對(duì)外提供一套完整的 Lua API，透明地支持非阻塞 I/O，提供了輕量級(jí)線程、定時(shí)器等高級(jí)抽象。

我們可以用 Lua 語(yǔ)言來(lái)進(jìn)行字符串和數(shù)值運(yùn)算、查詢數(shù)據(jù)庫(kù)、發(fā)送 HTTP 請(qǐng)求、執(zhí)行定時(shí)任務(wù)、調(diào)用外部命令等，還可以用 FFI 的方式調(diào)用外部 C 函數(shù)。這基本上可以滿足服務(wù)端開(kāi)發(fā)需要的所有功能。

掌握好了 OpenResty，我們就可以同時(shí)擁有腳本語(yǔ)言的開(kāi)發(fā)效率和迭代速度，以及 Nginx C 模塊的高并發(fā)和高性能優(yōu)勢(shì)。

下面為大家介紹本文大綱：

• OpenResty 的 hello world 該怎么寫
• 快速上手 Lua 腳本語(yǔ)言
• OpenResty 用到的 Nginx 知識(shí)
• OpenResty 在網(wǎng)關(guān)安全中如何應(yīng)用

OpenResty 的 hello world 該怎么寫

OpenResty 的安裝

OpenResty 的安裝有多種方法，比如使用操作系統(tǒng)的包管理器、源碼編譯或者 docker 鏡像。推薦優(yōu)先使用 yum、apt-get、brew 這類包管理系統(tǒng)，來(lái)安裝 OpenResty。

對(duì)于 Mac OS X 或 macOS 用戶，強(qiáng)烈推薦您使用 homebrew 包管理工具安裝 OpenResty?？梢灾苯邮褂孟旅?這一條命令：

brew install openresty/brew/openresty

對(duì)于一些常見(jiàn)的 Linux 發(fā)行版本（Ubuntu、Debian、CentOS、RHEL、Fedora、OpenSUSE、Alpine 和 Amazon Linux）， OpenResty 提供 官方預(yù)編譯包。確保首先用這種方式來(lái)安裝。這里用 CentOS 舉例，可以使用如下方式，

CentOS 9 或者更新版本

# add the yum repo:
wget https://openresty.org/package/centos/openresty2.repo
sudo mv openresty2.repo /etc/yum.repos.d/openresty.repo

# update the yum index:
sudo yum check-update

CentOS 8 或者更老版本

# add the yum repo:
wget https://openresty.org/package/centos/openresty.repo
sudo mv openresty.repo /etc/yum.repos.d/openresty.repo

# update the yum index:
sudo yum check-update

然后就可以像下面這樣安裝軟件包，比如 openresty：

sudo yum install -y openresty

Docker 安裝

Docker 安裝的方式就最為簡(jiǎn)單了，只需要輸入以下命令，就可以獲取打包好的鏡像。

docker pull openresty/openresty

目錄結(jié)構(gòu)

安裝 OpenResty 成功后的目錄結(jié)構(gòu)如下（以默認(rèn)安裝目錄為例）：

/usr/local/openresty/                          #安裝主目錄
├── bin                                     #存放可執(zhí)行文件
├── luajit                                  #LuaJIT運(yùn)行庫(kù)
├── lualib                                  #Lua組件
├── Nginx                                   #Nginx核心運(yùn)行平臺(tái)
├── pod                                     #參考手冊(cè)（restydoc）使用的數(shù)據(jù)
└── site                                    #包管理工具（opm）使用的數(shù)據(jù)

啟動(dòng)服務(wù)

yum 安裝完后，就可以直接運(yùn)行 openresty 命令，啟動(dòng) OpenResty 服務(wù)。

/usr/local/openresty/bin/openresty         #啟動(dòng)OpenResty服務(wù)

OpenResty 默認(rèn)開(kāi)啟了 localhost:80 服務(wù)，使用 wget 或者 curl 這樣的工具就可以驗(yàn)證 OpenResty 是否正常工作：

curl http://localhost:80                   #curl命令發(fā)送HTTP請(qǐng)求

下面是一些其他常用命令，

/usr/local/openresty/bin/openresty  -s stop       #停止 OpenResty 服務(wù)
/usr/local/openresty/bin/openresty  -s reload     #重新加載 Nginx 配置文件
/usr/local/openresty/bin/openresty  -t            #檢查 Nginx 配置文件是否正確
/usr/local/openresty/bin/openresty  -c            #指定配置文件啟動(dòng)

OpenResty 的操作命令跟 Nginx 保持一致?？梢詧?zhí)行 openresty -h 以及 nginx -h 對(duì)比看出，

圖片

命令行工具 resty

如果你想安裝命令行工具 resty，那么可以像下面這樣安裝 openresty-resty 包：

sudo yum install -y openresty-resty

resty 是一個(gè) cli 工具，可以使用 -e 參數(shù)可以在命令行里直接執(zhí)行 Lua 代碼，我們可以在命令行執(zhí)行如下命令，

[root@VM-4-5-centos ~]# resty -e "print('hello world')"
hello OpenResty

resty 工具還有很多選項(xiàng)用于配置行為，非常靈活，-e 之外較常用的有

-c                ：指定最大并發(fā)連接數(shù)（默認(rèn)值是64）；
-I                ：指定Lua庫(kù)的搜索路徑；
-l                ：指定加載某個(gè)Lua庫(kù)；
--http-conf       ：定制在http域里的指令；
--main-include    ：定制在main域里的指令；
--shdict          ：定制使用的共享內(nèi)存（參見(jiàn)10.2節(jié)）；
--resolve-ipv6    ：允許解析ipv6的地址。

想了解完整的列表，可以查看 resty -h 命令。

包管理工具 opm

跟大多數(shù)語(yǔ)言一樣有包管理工具一樣，OpenResty 也有自己的包管理工具 opm（OpenResty Package Manager），opm 在 openresty-opm 包里，安裝命令如下，

sudo yum install -y openresty-opm

opm 是 OpenResty 自帶的包管理器，在你安裝好 OpenResty 之后，就可以直接使用。一些常見(jiàn)用法如下，

opm search    http                            #搜索關(guān)鍵字http
opm search    kafka                           #搜索關(guān)鍵字kafka
opm get       agentzh/lua-resty-http          #安裝組件，注意需要sudo
opm info      agentzh/lua-resty-http          #顯示組件的版本、作者等信息
opm remove    agentzh/lua-resty-http          #移除組件，同樣需要sudo
opm --install-dir=/opt    get xxx             #把組件安裝到/opt目錄下
opm --cwd                 get xxx             #安裝到當(dāng)前目錄的/resty_modules下

編寫 hello world

在上文中我們使用命令行工具 resty 寫了一個(gè)比較簡(jiǎn)單的 OpenResty 程序，沒(méi)有 master 進(jìn)程，也不會(huì)監(jiān)聽(tīng)端口。下面讓我們寫一個(gè)需要啟動(dòng) OpenResty 服務(wù)的 hello world。

首先找到 OpenResty 安裝目錄下 nginx/conf/nginx.conf 文件，在 server 下新增 OpenResty 的 content_by_lua 指令，里面嵌入了 ngx.say 的代碼：

server {
        listen       88;
        server_name  localhost;

        location / {
            root   html;
            index  index.html index.htm;
        }

        location /hello {
            content_by_lua '
                ngx.say("hello, world")
            ';
        }
}

接著我們執(zhí)行 openresty -s reload 命令，重新加載 nginx.conf 配置文件。沒(méi)有報(bào)錯(cuò)的話，OpenResty 的服務(wù)就已經(jīng)成功啟動(dòng)了。

最后使用 curl 命令，來(lái)查看結(jié)果的返回：

[root@VM-4-5-centos conf]# curl localhost:88/hello
hello, world

到這里，一個(gè)真正的 OpenResty 開(kāi)發(fā)的 hello world 程序就完成了。

快速上手 Lua 腳本語(yǔ)言

Lua 環(huán)境

我們不用專門去安裝標(biāo)準(zhǔn) Lua 5.1 之類的環(huán)境，因?yàn)?OpenResty 已經(jīng)不再支持標(biāo)準(zhǔn) Lua，而只支持 LuaJIT。這里我介紹的 Lua 語(yǔ)法，也是和 LuaJIT 兼容的部分，而不是基于最新的 Lua 5.3，這一點(diǎn)需要特別注意。

在 OpenResty 的安裝目錄下，可以找到 LuaJIT 的目錄和可執(zhí)行文件。在 CentOS 系統(tǒng)下，LuaJIT 的目錄如下，

[root@VM-4-5-centos luajit]# cd /usr/local/openresty/luajit/bin/
[root@VM-4-5-centos bin]# ll
total 536
lrwxrwxrwx 1 root root     18 Oct 12 11:22 luajit -> luajit-2.1.0-beta3
-rwxr-xr-x 1 root root 547728 Jul 18 12:38 luajit-2.1.0-beta3

我們可以執(zhí)行 cp luajit /usr/local/bin/ 將 luajit 文件復(fù)制到 /usr/local/bin/ 目錄下，進(jìn)而可以直接使用 luajit 命令。

查看 LuaJIT 的版本號(hào)，

[root@VM-4-5-centos ~]# luajit  -v
LuaJIT 2.1.0-beta3 -- Copyright (C) 2005-2022 Mike Pall. https://luajit.org/

執(zhí)行 lua 腳本，

[root@VM-4-5-centos ~]# echo 'print("hello world")' > 1.lua
[root@VM-4-5-centos ~]# cat 1.lua
print("hello world")
[root@VM-4-5-centos ~]# luajit 1.lua
hello world
[root@VM-4-5-centos ~]#

也可以使用 resty 來(lái)直接運(yùn)行，它最終也是用 LuaJIT 來(lái)執(zhí)行的，

[root@VM-4-5-centos ~]# resty -e 'print("hello world")'
hello world

基本語(yǔ)法

變量

在 Lua 中聲明變量，可以如下代碼所示，

local a = 'hello'
b = "world"

加了 local 關(guān)鍵字，用于聲明局部變量。

不加 local 關(guān)鍵字的話，變量默認(rèn)是全局的。

注釋

兩個(gè)減號(hào)是單行注釋

-- 注釋

多行注釋

--[[
 多行注釋
 多行注釋
 --]]

行尾結(jié)束

Lua 中代碼的行尾結(jié)束都不需要添加特殊字符，這跟 Java 不同（Java 在行尾需要添加 ;）。

local a = 'a'
print(a)

數(shù)據(jù)類型

Lua 中的數(shù)據(jù)類型不多，你可以通過(guò) type 函數(shù)來(lái)返回一個(gè)值的類型，比如下面這樣的操作：

[root@VM-4-5-centos ~]# resty -e 'print(type("hello world"))
>  print(type(print))
>  print(type(true))
>  print(type(360.0))
>  print(type({}))
>  print(type(nil))
>  '

打印如下，

string
function
boolean
number
table
nil

這幾種就是 Lua 中的基本數(shù)據(jù)類型了。下面我們來(lái)簡(jiǎn)單介紹一下它們。

字符串

在 Lua 中，有三種方式可以表達(dá)一個(gè)字符串：?jiǎn)我?hào)、雙引號(hào)，以及長(zhǎng)括號(hào)（[[]]），示例如下，

新建 str.lua 文件，寫入以下內(nèi)容，

local s = 'a'
local s1 = "b"
local s2 = [[c]]

print(s)
print(s1)
print(s2)

執(zhí)行 luajit str.lua 返回結(jié)果如下，

a
b
c

在 Lua 中，字符串拼接采用 .. 的方式，示例如下，

編輯 str.lua 文件，寫入以下內(nèi)容，

local s = 'a'
local s1 = "b"
local s2 = [[c]]

print(s)
print(s1)
print(s2)

local s3 =s .. s1 ..s2
print(s3)

執(zhí)行 luajit str.lua 返回結(jié)果如下，

a
b
c
abc

布爾值

在 Lua 中，只有 nil 和 false 為假，其他都為 true，包括 0 和空字符串也為真。我們可以用示例印證一下：

新建 bool.lua 腳本文件，寫入以下內(nèi)容，

local a = 0
local b
if a then
  print("true")
end
a = ""
if a then
  print("true")
end

print(b)

執(zhí)行 luajit str.lua 返回結(jié)果如下，

true
true
nil

在 Lua 中，空值就是 nil。如果你定義了一個(gè)變量，但沒(méi)有賦值，它的默認(rèn)值就是 nil，對(duì)應(yīng)的就是上面示例代碼的局部變量 b。

數(shù)字

Lua 的 number 類型，是用雙精度浮點(diǎn)數(shù)來(lái)實(shí)現(xiàn)的。值得一提的是，LuaJIT 支持 dual-number（雙數(shù)）模式，也就是說(shuō)，LuaJIT 會(huì)根據(jù)上下文來(lái)用整型來(lái)存儲(chǔ)整數(shù)，而用雙精度浮點(diǎn)數(shù)來(lái)存放浮點(diǎn)數(shù)。示例如下，

新建 number.lua 腳本文件，寫入以下內(nèi)容，

print(type(2))
print(type(2.2))
print(type(0.2))
print(type(2e+1))
print(type(0.2e-1))
print(type(7.8263692594256e-06))

print(2 + 2)
print(2 + 22.2)

執(zhí)行 luajit number.lua 返回結(jié)果如下，

number
number
number
number
number
number
4
24.2

函數(shù)

函數(shù)在 Lua 中是一等公民，你可以把函數(shù)存放在一個(gè)變量中，也可以當(dāng)作另外一個(gè)函數(shù)的入?yún)⒑统鰠?。示例如下?/p>

新建 fun.lua 文件，寫入以下代碼，

-- 階乘
function factorial1(n)
    if n == 0 then
        return 1
    else
        return n * factorial1(n - 1)
    end
end
print(factorial1(5))
factorial2 = factorial1
print(factorial2(5))

執(zhí)行 luajit fun.lua 返回結(jié)果如下，

120
120

分支控制

Lua 提供了以下兩種分支控制結(jié)構(gòu)語(yǔ)句：

• if 語(yǔ)句
• if...else 語(yǔ)句
• if...elseif...else 語(yǔ)句

if 語(yǔ)句

Lua if 語(yǔ)句語(yǔ)法格式如下：

if(布爾表達(dá)式)
then
   --[ 在布爾表達(dá)式為 true 時(shí)執(zhí)行的語(yǔ)句 --]
end

以下是一個(gè)判斷變量 a 的值是否小于 20 的示例，

新建 if1.lua，寫入以下內(nèi)容，

--[ 定義變量 --]
a = 10;

--[ 使用 if 語(yǔ)句 --]
if (a < 20) then
   --[ if 條件為 true 時(shí)打印以下信息 --]
   print("a 小于 20" );
end
print("a 的值為:", a);

執(zhí)行 luajit if1.lua 返回結(jié)果如下，

a 小于 20
a 的值為: 10

if...else 語(yǔ)句

Lua if 語(yǔ)句可以與 else 語(yǔ)句搭配使用, 在 if 條件表達(dá)式為 false 時(shí)執(zhí)行 else 語(yǔ)句代碼塊。

Lua if...else 語(yǔ)句語(yǔ)法格式如下：

if(布爾表達(dá)式)
then
   --[ 布爾表達(dá)式為 true 時(shí)執(zhí)行該語(yǔ)句塊 --]
else
   --[ 布爾表達(dá)式為 false 時(shí)執(zhí)行該語(yǔ)句塊 --]
end

以下是一個(gè)判斷變量 a 值的示例，

新建 if2.lua，寫入以下內(nèi)容，

--[ 定義變量 --]
a = 100;
--[ 檢查條件 --]
if( a < 20 )
then
   --[ if 條件為 true 時(shí)執(zhí)行該語(yǔ)句塊 --]
   print("a 小于 20" )
else
   --[ if 條件為 false 時(shí)執(zhí)行該語(yǔ)句塊 --]
   print("a 大于 20" )
end
print("a 的值為 :", a)

執(zhí)行 luajit if2.lua 返回結(jié)果如下，

a 大于 20
a 的值為 : 100

if...elseif...else 語(yǔ)句

Lua if 語(yǔ)句可以與 elseif...else 語(yǔ)句搭配使用, 在 if 條件表達(dá)式為 false 時(shí)執(zhí)行 elseif...else 語(yǔ)句代碼塊，用于檢測(cè)多個(gè)條件語(yǔ)句。

Lua if...elseif...else 語(yǔ)句語(yǔ)法格式如下：

if( 布爾表達(dá)式 1)
then
   --[ 在布爾表達(dá)式 1 為 true 時(shí)執(zhí)行該語(yǔ)句塊 --]

elseif( 布爾表達(dá)式 2)
then
   --[ 在布爾表達(dá)式 2 為 true 時(shí)執(zhí)行該語(yǔ)句塊 --]

elseif( 布爾表達(dá)式 3)
then
   --[ 在布爾表達(dá)式 3 為 true 時(shí)執(zhí)行該語(yǔ)句塊 --]
else
   --[ 如果以上布爾表達(dá)式都不為 true 則執(zhí)行該語(yǔ)句塊 --]
end

以下是一個(gè)判斷變量 a 值的示例，

新建 if3.lua，寫入以下內(nèi)容，

--[ 定義變量 --]
a = 100

--[ 檢查布爾條件 --]
if( a == 10 )
then
    --[ 如果條件為 true 打印以下信息 --]
    print("a 的值為 10" )
elseif( a == 20 )
then
    --[ if else if 條件為 true 時(shí)打印以下信息 --]
    print("a 的值為 20" )
elseif( a == 30 )
then
    --[ if else if condition 條件為 true 時(shí)打印以下信息 --]
    print("a 的值為 30" )
else
    --[ 以上條件語(yǔ)句沒(méi)有一個(gè)為 true 時(shí)打印以下信息 --]
    print("沒(méi)有匹配 a 的值" )
end
print("a 的真實(shí)值為: ", a )

執(zhí)行 luajit if3.lua 返回結(jié)果如下，

沒(méi)有匹配 a 的值
a 的真實(shí)值為:  100

循環(huán)

Lua 編程語(yǔ)言中 for 循環(huán)語(yǔ)句可以重復(fù)執(zhí)行指定語(yǔ)句，重復(fù)次數(shù)可在 for 語(yǔ)句中控制。

Lua 編程語(yǔ)言中 for 語(yǔ)句有兩大類：

• 數(shù)值 for 循環(huán)
• 泛型 for 循環(huán)

數(shù)值 for 循環(huán)

Lua 編程語(yǔ)言中數(shù)值 for 循環(huán)語(yǔ)法格式:

for var=exp1,exp2,exp3 do
    <執(zhí)行體>
end

var 從 exp1 變化到 exp2，每次變化以 exp3 為步長(zhǎng)遞增 var，并執(zhí)行一次 "執(zhí)行體"。exp3 是可選的，如果不指定，默認(rèn)為 1。示例如下，

新建 for1.lua 文件，寫入以下內(nèi)容，

function f(x)
    print("function")
    return x*2
end

for i = 1, f(5) do print(i)
end

執(zhí)行 luajit for1.lua 返回結(jié)果如下，

function
1
2
3
4
5
6
7
8
9
10

泛型 for 循環(huán)

泛型 for 循環(huán)通過(guò)一個(gè)迭代器函數(shù)來(lái)遍歷所有值，類似 java 中的 foreach 語(yǔ)句。

Lua 編程語(yǔ)言中泛型 for 循環(huán)語(yǔ)法格式:

--打印數(shù)組a的所有值
local a = {"one", "two", "three"}
for i, v in ipairs(a) do
    print(i, v)
end

i 是數(shù)組索引值，v 是對(duì)應(yīng)索引的數(shù)組元素值。ipairs 是 Lua 提供的一個(gè)迭代器函數(shù)，用來(lái)迭代數(shù)組。

將以上內(nèi)容下入 for2.lua 文件，打印結(jié)果如下，

1 one
2 two
3 three

Lua 模塊與包

模塊類似于一個(gè)封裝庫(kù)，從 Lua 5.1 開(kāi)始，Lua 加入了標(biāo)準(zhǔn)的模塊管理機(jī)制，可以把一些公用的代碼放在一個(gè)文件里，以 API 接口的形式在其他地方調(diào)用，有利于代碼的重用和降低代碼耦合度。

Lua 提供了一個(gè)名為 require 的函數(shù)用來(lái)加載模塊。要加載一個(gè)模塊，只需要簡(jiǎn)單地調(diào)用就可以了。例如：

require("cjson")
-- 或者
require "cjson"

Lua 比較小巧，內(nèi)置的標(biāo)準(zhǔn)庫(kù)并不多。在 OpenResty 的環(huán)境中默認(rèn)支持了一些官方模塊，如 cjson 可以直接使用，其他的一些第三方庫(kù)則需要先使用 lua_package_path 指令配置 OpenResty 的文件尋址路徑，又或者直接使用 opm 包管理工具來(lái)安裝一些第三方模塊。

OpenResty 中默認(rèn)啟用了下面列表的絕大部分組件，想要了解更多 OpenResty 相關(guān)組件的話，可以翻閱官網(wǎng)說(shuō)明 https://openresty.org/cn/components.html。

LuaJIT
ArrayVarNginxModule
AuthRequestNginxModule
CoolkitNginxModule
DrizzleNginxModule
EchoNginxModule
EncryptedSessionNginxModule
FormInputNginxModule
HeadersMoreNginxModule
...

本文的 Lua 語(yǔ)法介紹到這里就足夠在 OpenResty 中編寫 lua 腳本了，想要了解更多 Lua 內(nèi)容，如 table、文件、調(diào)式等可以自行翻閱 https://www.runoob.com/lua/lua-tutorial.html 網(wǎng)站。

OpenResty 用到的 Nginx 知識(shí)

內(nèi)置常量和變量

OpenResty 在內(nèi)置 Lua 引擎中新增了一些常用的內(nèi)置變量如下所示。

圖片

圖片來(lái)源https://zhuanlan.zhihu.com/p/539546173

OpenResty 在內(nèi)置 Lua 引擎中新增了一些常用的內(nèi)置常量大致如下所示。

圖片

圖片

這些內(nèi)置變量和常量都可以在 Lua 腳本中直接使用。

配置指令

OpenResty 定義了一系列 Nginx 配置指令，用于配置何時(shí)運(yùn)行用戶 Lua 腳本以及如何返回 Lua 腳本的執(zhí)行結(jié)果，這些指令可以直接在 nginx.conf 配置文件中使用。

OpenResty 定義的 Nginx 配置指令大致如下所示。

圖片

圖片來(lái)源https://zhuanlan.zhihu.com/p/539546173

這些指令中有 9 個(gè) *_by_lua 指令，它們和 Nginx 的關(guān)系如下圖所示

圖片

圖片來(lái)自 lua-Nginx-module 文檔

其中，init_by_lua 只會(huì)在 Master 進(jìn)程被創(chuàng)建時(shí)執(zhí)行，init_worker_by_lua 只會(huì)在每個(gè) Worker 進(jìn)程被創(chuàng)建時(shí)執(zhí)行。其他的 *_by_lua 指令則是由終端請(qǐng)求觸發(fā)，會(huì)被反復(fù)執(zhí)行。

所以在 init_by_lua 階段，我們可以預(yù)先加載 Lua 模塊和公共的只讀數(shù)據(jù)，這樣可以利用操作系統(tǒng)的 COW（copy on write）特性，來(lái)節(jié)省一些內(nèi)存。

對(duì)于業(yè)務(wù)代碼來(lái)說(shuō)，其實(shí)大部分的操作都可以在 content_by_lua 里面完成，但更推薦的做法，是根據(jù)不同的功能來(lái)進(jìn)行拆分，比如下面這樣：

• set_by_lua：設(shè)置變量；
• rewrite_by_lua：轉(zhuǎn)發(fā)、重定向等；
• access_by_lua：準(zhǔn)入、權(quán)限等；
• content_by_lua：生成返回內(nèi)容；
• header_filter_by_lua：應(yīng)答頭過(guò)濾處理；
• body_filter_by_lua：應(yīng)答體過(guò)濾處理；
• log_by_lua：日志記錄。

利用這些階段的特性，我們可以一些通用邏輯進(jìn)行拆分處理，比如我們可以在 access 階段解密，在 body filter 階段加密就可以了，在 content 階段的代碼是不用做任何修改的。

# 加密協(xié)議版本
location /test {
    access_by_lua '...';        # 請(qǐng)求體解密
    content_by_lua '...';       # 處理請(qǐng)求，不需要關(guān)心通信協(xié)議
    body_filter_by_lua '...';   # 應(yīng)答體加密
}

OpenResty 在網(wǎng)關(guān)安全中如何應(yīng)用

WAF 介紹

Web 應(yīng)用防火墻（Web Application Firewall，簡(jiǎn)稱 WAF）對(duì)網(wǎng)站或者 App 的業(yè)務(wù)流量進(jìn)行惡意特征識(shí)別及防護(hù)，在對(duì)流量清洗和過(guò)濾后，將正常、安全的流量返回給服務(wù)器，避免網(wǎng)站服務(wù)器被惡意入侵導(dǎo)致性能異常等問(wèn)題，從而保障網(wǎng)站的業(yè)務(wù)安全和數(shù)據(jù)安全。

常見(jiàn) Web 應(yīng)用攻擊防護(hù)

• 防御一些常見(jiàn)常見(jiàn)威脅：SQL 注入、XSS 跨站、WebShell 上傳、后門攻擊、命令注入、非法 HTTP 協(xié)議請(qǐng)求、常見(jiàn) Web 服務(wù)器漏洞攻擊、CSRF、核心文件非授權(quán)訪問(wèn)、路徑穿越、網(wǎng)站被掃描等。
• CC 惡意攻擊防護(hù)：控制單一源 IP 的訪問(wèn)頻率，基于重定向跳轉(zhuǎn)驗(yàn)證、人機(jī)識(shí)別等。針對(duì)海量慢速請(qǐng)求攻擊，根據(jù)統(tǒng)計(jì)響應(yīng)碼及 URL 請(qǐng)求分布、異常 Referer 及 User-Agent 特征識(shí)別，結(jié)合網(wǎng)站精準(zhǔn)防護(hù)規(guī)則綜合防護(hù)。
• 網(wǎng)站隱身：不對(duì)攻擊者暴露站點(diǎn)地址，避免其繞過(guò) Web 應(yīng)用防火墻直接攻擊。

相關(guān)產(chǎn)品

目前 WAF 相關(guān)產(chǎn)品主要有三類：

• 硬件 WAF：效果好，但是貴！
• 軟件 WAF：效果還算可以，能用，有開(kāi)源產(chǎn)品！
• 云廠商 WAF：云廠商的 WAF 都很貴！

鑒于極客精神（白嫖萬(wàn)歲 ??），這里介紹幾款業(yè)內(nèi)開(kāi)源的 WAF 產(chǎn)品，

• 長(zhǎng)亭科技的雷池社區(qū)版，主頁(yè)地址：https://waf-ce.chaitin.cn/
• ModSecurity，主頁(yè)地址：https://www.modsecurity.org/
• Coraza，主頁(yè)地址：https://coraza.io/
• VeryNginx，主頁(yè)地址：https://github.com/alexazhou/VeryNginx
• NAXSI，主頁(yè)地址：https://github.com/nbs-system/naxsi
• NGX_WAF，主頁(yè)地址：https://github.com/ADD-SP/ngx_waf
• 南墻，主頁(yè)地址：https://waf.uusec.com/
• JANUSEC，主頁(yè)地址：https://www.janusec.com/
• HTTPWAF，主頁(yè)地址：https://github.com/httpwaf/httpwaf2.0
• 錦衣盾，主頁(yè)地址：https://www.jxwaf.com/

對(duì)于以上 WAF 產(chǎn)品的一些評(píng)價(jià)指標(biāo)如下：

• 防護(hù)效果：主要是兩個(gè)維度，能不能防住攻擊，會(huì)不會(huì)影響普通用戶
• 技術(shù)先進(jìn)性：防護(hù)引擎的技術(shù)競(jìng)爭(zhēng)力，是否具備對(duì)抗高級(jí)攻擊的能力
• 項(xiàng)目質(zhì)量：本文將以功能完整性、開(kāi)源代碼質(zhì)量、文檔完整性等角度作為評(píng)價(jià)依據(jù)
• 社區(qū)認(rèn)可度：反映了項(xiàng)目在用戶社區(qū)中的聲譽(yù)和影響力，本文將以 GitHub Star 數(shù)作為評(píng)價(jià)依據(jù)
• 社區(qū)活躍度：是潛力的體現(xiàn)，活躍度越高發(fā)展越快，本文將以社區(qū)用戶的參與度和作者維護(hù)項(xiàng)目的積極性作為

最終的的得分如下，

圖片

圖片來(lái)源https://stack.chaitin.com/techblog/detail/115

需要注意的是軟件 WAF 一般在第 7 層中進(jìn)行防御（osi 模型），并非能夠防御所有類型的攻擊，比如 ddos 攻擊就不能防御。不過(guò)一般云廠商提供的 WAF 產(chǎn)品也有攜帶了 ddos 攻擊防御的支持，比如阿里云。

OpenResty 在 WAF 中的應(yīng)用

使用 OpenResty 作為流量入口時(shí)，我們可以通過(guò)編寫一些 Lua 腳本來(lái)實(shí)現(xiàn) WAF 防御的功能。Lua 腳本可以在 Nginx 配置文件中指定，在不同的階段執(zhí)行。

對(duì)于防火墻功能，我們通常可以在 access_by_lua 階段執(zhí)行 Lua 腳本，用于匹配請(qǐng)求或響應(yīng)的頭部或內(nèi)容，并根據(jù)匹配結(jié)果決定是否放行數(shù)據(jù)包或返回錯(cuò)誤信息。

下面我將給大家演示如何使用 OpenResty 實(shí)現(xiàn)一個(gè)基于 Lua 的 WAF（Web Application Firewall）功能。用來(lái)識(shí)別和阻止常見(jiàn)的 Web 攻擊，如 cc 防御、ip 黑名單、ua 參數(shù)校驗(yàn)等。

cc 防御

1. 修改 nginx.conf 文件，加入 access_by_lua_file cc.lua 指令，

http {
  # 聲明一個(gè) 10m 大小的共享內(nèi)存 cc_dict
  lua_shared_dict cc_dict 10m;
  lua_package_path "/usr/local/openresty/nginx/conf/lua/waf/?.lua;/usr/local/openresty/lualib/?.lua;";
  ...
  server {
    listen       88;
    server_name  localhost;

    # 在access階段執(zhí)行 cc 防御插件
    access_by_lua_file cc.lua;

    location / {
      ...
    }
  }
}

2. 新建 cc.lua 腳本，寫入以下內(nèi)容，

-- 獲取客戶端ip
local function getClientIp()
    IP  = ngx.var.remote_addr
    if IP == nil then
        IP  = "unknown"
    end
    return IP
end

local function denyCC()
    local uri=ngx.var.uri
    ccCount=100
    ccSecnotallow=6
    local access_uri = getClientIp()..uri
    local limit = ngx.shared.cc_dict
    local req,_=limit:get(access_uri)
    if req then
        if req > ccCount then
            ngx.exit(503)
            return true
        else
            limit:incr(access_uri,1)
        end
    else
        limit:set(access_uri,1,ccSeconds)
    end
    return false
end

if denyCC() then
    return
end

3. 重啟 OpenResty 服務(wù)，就完成了 cc 防御功能。

openresty -s  reload

ip 黑名單

1. 修改 nginx.conf 文件，加入 access_by_lua_file ip_block.lua 指令，

http {
  lua_package_path "/usr/local/openresty/nginx/conf/lua/waf/?.lua;/usr/local/openresty/lualib/?.lua;";
  ...
  server {
    listen       88;
    server_name  localhost;

    # 在access階段執(zhí)行 ip_block 防御插件
    access_by_lua_file ip_block.lua;

    location / {
      ...
    }
  }
}

2. 新建 ip_block.lua 腳本，寫入以下內(nèi)容，

local cjson = require "cjson"

local function read_json(var)
    file = io.open(var,"r")
    if file==nil then
        return
    end
    str = file:read("*a")
    file:close()
    list = cjson.decode(str)
    return list
end

local function getClientIp()
    IP  = ngx.var.remote_addr
    if IP == nil then
        IP  = "unknown"
    end
    return IP
end

local function blockIpCheck()
    local ipBlockList=read_json('/usr/local/openresty/nginx/conf/lua/waf/ip_block.json')
    if next(ipBlockList) ~= nil then
        for _,ip in pairs(ipBlockList) do
            if getClientIp()==ip then
                ngx.exit(403)
                return true
            end
        end
    end
    return false
end

if blockIpCheck() then
    return
end

3. 在 /usr/local/openresty/nginx/conf/lua/waf 目錄下新建 ip_block.json 文件，寫入我們要加入黑名單的 ip，

["58.48.224.7"]

4. 重啟 OpenResty 服務(wù)，就完成了 ip 黑名單功能。

openresty -s  reload

ua 攔截

1. 修改 nginx.conf 文件，加入 access_by_lua_file ua.lua 指令，

http {
  lua_package_path "/usr/local/openresty/nginx/conf/lua/waf/?.lua;/usr/local/openresty/lualib/?.lua;";
  ...
  server {
    listen       88;
    server_name  localhost;

    # 在access階段執(zhí)行 ua 防御插件
    access_by_lua_file ua.lua;

    location / {
      ...
    }
  }
}

2. 新建 ua.lua 腳本，寫入以下內(nèi)容，

local ngxMatch=ngx.re.match
local cjson = require "cjson"

local function read_json(var)
    file = io.open(var,"r")
    if file==nil then
        return
    end
    str = file:read("*a")
    file:close()
    list = cjson.decode(str)
    return list
end

function ua()
    local ua = ngx.var.http_user_agent
    local userAgents=read_json('/usr/local/openresty/nginx/conf/lua/waf/user_agent.json')
    if next(userAgents) ~= nil then
        for _,rule in pairs(userAgents) do
            if rule ~="" and ngxMatch(ua,rule,"isjo") then
                ngx.exit(403)
                return true
            end
        end
    end
    return false
end

if ua() then
    return
end

3. 在 /usr/local/openresty/nginx/conf/lua/waf 目錄下新建 user_agent.json 文件，寫入我們要加入黑名單的 ua 信息，

["Chrome/116.0.0.0"]

4. 重啟 OpenResty 服務(wù)，就完成了 ua 攔截功能。

openresty -s  reload

相關(guān)資料

• OpenResty 官網(wǎng)：https://openresty.org/cn/benchmark.html
• 菜鳥教程：https://www.runoob.com/lua/lua-tutorial.html
• 《OpenResty完全開(kāi)發(fā)指南》：https://weread.qq.com/web/bookDetail/fec3240071848696fec3572
• 《OpenResty從入門到實(shí)戰(zhàn)》：https://time.geekbang.org/column/intro/186?code=hkx6qkdp47iccvn0yf40aowqzyzzchyykmswfogb90g%3D

總結(jié)

自此本文介紹了OpenResty入門以及使用 Lua 腳本實(shí)現(xiàn)一些常見(jiàn)的網(wǎng)關(guān)安全功能等。需要注意的就是大家在已有的 Nginx 服務(wù)遷移到 OpenResty 上來(lái)時(shí)，記得注意 OpenResty 版本，Nginx 與 OpenResty 相同版本情況下，OpenResty 官方是保證完全兼容的。