博客 (6)

前几天实现了在 nginx 中使用 lua 实现远程鉴权，今天想试试在 IIS 中能不能实现相同的功能。查询资料发现需要使用 URL 重写和 HTTP 请求模块，没有深究。干脆使用 ASP.NET 中间件来实现吧。

在 StratUp.cs 的 Configure 方法中，或 Program.cs 文件中添加以下代码：

// 远程鉴权
app.Use(async (context, next) =>
{
    var ip = context.Connection.RemoteIpAddress!.ToString();
    var ua = context.Request.Headers.UserAgent.ToString();
    var host = context.Request.Host.Host;
    var uri = new Uri(context.Request.GetDisplayUrl()).PathAndQuery;

    var client = new HttpClient();
    client.Timeout = TimeSpan.FromSeconds(1); // 设置超时时间

    try
    {
        var requestUrl = "https://鉴权地址/";

        var requestMessage = new HttpRequestMessage(HttpMethod.Get, requestUrl);
        requestMessage.Headers.Add("X-Real-IP", ip);
        requestMessage.Headers.Add("User-Agent", ua);
        requestMessage.Headers.Add("X-Forwarded-Host", host);
        requestMessage.Headers.Add("X-Forwarded-Uri", uri);

        // 发送请求
        var response = await client.SendAsync(requestMessage);

        // 检查响应状态码
        if (response.StatusCode == HttpStatusCode.Forbidden)
        {
            // 如果返回403，则拒绝访问
            context.Response.StatusCode = (int)HttpStatusCode.Forbidden;
            await context.Response.WriteAsync("Access Denied");
        }
        else
        {
            // 如果返回其他状态码，则继续执行管道中的下一个中间件
            await next();
        }
    }
    catch (TaskCanceledException ex) when (ex.CancellationToken.IsCancellationRequested)
    {
        // 如果请求超时（任务被取消），则继续执行管道中的下一个中间件
        await next();
    }
    catch
    {
        // 如果遇到错误，则继续执行管道中的下一个中间件
        await next();
    }
});

代码很简单，使用 HttpClient 发送请求，若返回 403 则拒绝访问，其它情况继续执行业务逻辑，超时或报错的情况按需修改即可。

若鉴权接口在私网中，建议将鉴权接口域名和私网 IP 添加到 hosts 文件中。

• location 优先于 access_by_lua_block，即使 access_by_lua_block 放在 http 中。

• location 的 3 种匹配的优先级，精确匹配（=） > 正则匹配（~） > 前缀匹配（无符号，直接是“/”开头的 uri 前缀）。

• 相同匹配类型的多个 location（比如有多个正则匹配），按定义顺序来进行匹配。

• 一旦有一个 location 被匹配到，就不再继续匹配其它 location。
  

• 如果使用 access_by_lua_block 鉴权，那么不要放在任何 location 中，这样，匹配完 location 后只要没有命中直接返回语句，就会继续执行 access_by_lua_block。并且，如果 access_by_lua_block 中鉴权拒绝，后续的业务处理（如 php 业务）不会继续进行。

http {
    ...

    lua_shared_dict cpu_cache 1m;  # 定义共享字典用于缓存 CPU 使用率
    access_by_lua_block {
        local cpu_cache = ngx.shared.cpu_cache
        local cache_time = cpu_cache:get("cache_time") or 0
        local current_time = ngx.now()

        if current_time - cache_time > 5 then  -- 每 5 秒更新一次
            local cpu_info = io.popen("top -bn1 | grep 'Cpu(s)'"):read("*all")
            local cpu_usage = cpu_info:match("(%d+%.%d+) id")  -- 获取空闲 CPU 百分比
            local cpu_used = 100 - tonumber(cpu_usage)  -- 计算使用率

            cpu_cache:set("cpu_usage", cpu_used)
            cpu_cache:set("cache_time", current_time)
        end

        local cpu_usage = cpu_cache:get("cpu_usage")
        ngx.log(ngx.INFO, "CPU 使用率: " .. cpu_usage .. "%")
        -- 将 cpu_usage 发送到远程鉴权接口，可根据服务器压力来决定是否拒绝一些不重要的请求
    }
}

代码解析：

共享字典：使用 lua_shared_dict 定义一个共享字典 cpu_cache，用于存储 CPU 使用率和缓存时间。

获取 CPU 使用率：在 access_by_lua_block 中，检查缓存时间，如果超过 5 秒，则重新获取 CPU 使用率，并更新共享字典。

记录日志：使用 ngx.log 将 CPU 使用率记录到 Nginx 日志中。

注意事项：

确保 Nginx 配置中已经加载了 Lua 模块（如 ngx_http_lua_module）。

根据实际需求调整缓存时间，以平衡性能和数据的实时性。

如何配置 nginx 远程鉴权

1. 使 lua 支持 resty.http

2. 在 access_by_lua_block 代码块中实现远程鉴权：

   #鉴权-START
   resolver 223.5.5.5;  # 使用公共 DNS
   access_by_lua_block {
       local http = require("resty.http")
       local httpc = http.new()
       httpc:set_timeout(500)  -- 连接超时
       local res, err = httpc:request_uri("https://鉴权地址/", {
           method = "GET",
           headers = {
               ["X-Real-IP"] = ngx.var.remote_addr,
               ["User-Agent"] = ngx.var.http_user_agent,
               ["X-Forwarded-Host"] = ngx.var.host,
               ["X-Forwarded-Uri"] = ngx.var.request_uri,
           },
           ssl_verify = false, -- 禁用 SSL 验证
           timeout = 500,     -- 读取超时
       })
   
       if not res then
           ngx.log(ngx.ERR, "Failed to request: " .. err)
       end
           
       if res and res.status == 403 then
           ngx.exit(ngx.HTTP_FORBIDDEN)
           -- return ngx.redirect("https://一个显示403友好信息的页面.html")
       end
   }
   #鉴权-END

   注意更改接口地址和友情显示 403 页面地址。

   本示例仅捕获 403 状态码，500、408 等其它异常情况视为允许访问，请根据业务需求自行添加状态码的判断。

   若超时也会进入 if not res then 代码块。

   建议将此代码部署在 nginx 主配置文件的 http 代码块中（宝塔面板中的路径：/www/server/nginx/nginx/conf/nginx.conf），如果你只想为单个网站鉴权，也可以放在网站配置文件的 server 块中。
   

3. 若鉴权接口在私网中，建议将鉴权接口域名和私网 IP 添加到 hosts 文件中。

附

1. 直接输出字符串

   ngx.header.content_type = "text/plain";
   ngx.say("hello world!")

2. 输出到日志

   ngx.log(ngx.ERR, "Response status: " .. res.status)

   日志在网站的 站名.error.log 中查看。

   宝塔面板查看方式：日志 - 网站日志 - 异常

3. 若想获取服务器 CPU 使用率等信息并传递给远程鉴权接口，请参考此文。

4. 常见问题

   no resolver defined to resolve

   原因：没有定义 DNS 解析器

   解决方法：在 http 块或 server 块中添加 resolver 8.8.8.8 valid=30s;，当然使用接入商自己的公共 DNS 可能更合适。

   unable to get local issuer certificate

   原因：没有配置 SSL 证书信息

   解决方法：添加 request_uri 参数：

   ssl_verify = true,  -- 启用 SSL 验证
   ssl_trusted_certificate = "证书路径",  -- 指定 CA 证书路径

   或

   ssl_verify = false,  -- 禁用 SSL 验证

5. 若您不想用 lua，可以用 nginx 原生自带的  auth_request 模块来实现。

鉴权方式有许多，譬如可以用 lua 的 access_by_lua 来实现，这里用 nginx 自带的 auth_request，虽然功能简单，但效率更高。

第一步，确保 nginx 已编译安装 auth_request 模块，见此文。

第二步，打开需要鉴权的网站的 nginx 配置文件，添加以下代码块：

    #鉴权-START
    location / {
        auth_request /auth;
        error_page 403 = @error403;
        
        #PHP-INFO-START  PHP引用配置，可以注释或修改
        include enable-php-**.conf;
        #PHP-INFO-END
    }
    location = /auth {
        internal;
        proxy_pass https://鉴权地址;
        proxy_pass_request_body off;
        proxy_set_header Content-Length "";
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header User-Agent $http_user_agent;
        proxy_set_header X-Forwarded-Host $host;
        proxy_set_header X-Forwarded-Uri $request_uri;
        proxy_intercept_errors on;
        #proxy_read_timeout 1s; # 超时会报 500
    }
    location @error403 {
        #default_type text/plain;
        #return 403 'forbidden';
        return 302 https://一个显示403友好信息的页面.html;
    }
    #鉴权-END

一般放在所有的 location 之前。

这里自定义请求头 X-Forwarded-Host 与 X-Forwarded-Uri 用来传递 host 与 uri。API 应从 Header 中相应取值。

宝塔面板中是通过 include enable-php-**.conf; 的方式调用 PHP ，那么可以将此行移入上面的 location / 代码块中，因为此代码块能匹配所有的请求路径。

最后，若鉴权接口在私网中，将鉴权接口域名和私网 IP 添加到 hosts 文件中。

前提：

• 监控摄像头有推流功能

• 抖音有直播权限（粉丝数超过 1000）

• 一个已备案的域名
  

名词解释：

推流地址：由阿里云生成的接收摄像头视频流推送的地址。

播流地址：由阿里云生成可用于终端播放的视频流地址。

各环节功能解释：

摄像头：负责采集视频信息，并推送到阿里云。

阿里云视频直播服务：接收视频推流并分发到用户端（收费）。

OBS 软件：负责将视频流转化为可供直播伴侣调用的视频源。

直播伴侣：将视频源分发到短视频终端用户。

第一步：配置阿里云视频直播服务

1.1 在阿里云控制台中开通视频直播，在域名管理中添加域名。

这里需要添加两个域名，一个是推流域名，一个是播流域名。顾名思义，“推流”指从摄像头将流推送到阿里云，“播流”是用户播放视频流。

以添加域名推流域名“rtmp.xoyozo.net”和播流域名“live.xoyozo.net”为例：

然后按列表中的 CNAME 地址对域名作解析即可。

解析生效后，点击任意一个域名进行配置，将推流域名和播流域名相互绑定。成功后，可以在推流域名中的播流信息中看到播流域名，在播流域名的推流信息中也能看到推流域名。

1.2 生成推流地址/播流地址

在工具箱中点击地址生成器。

选择推流域名和播流域名，AppName 和 StreamName 任意填写，生成成功后获取以下地址：

注：鉴权串是按照鉴权规则生成的串，默认有效期 30 分钟，超出时间即中断推流。可以在域名管理中修改该值，或直接关闭 URL 鉴权。

第二步：在摄像机控制面板中配置推流域名

该步骤因摄像机的品牌和型号不同而有所差异。本文以 IP CAMERA 为例。

首先使用 IP 搜索工具在局域网上搜索摄像机，找到摄像机的 IP 地址。

在浏览器上打开，输入用户名和密码进入管理面板。

在“参数设置”-“网络设置”- RTMP Publish 中，将推流地址填入到“预定网址”中，点击“应用”。

刷新后查看“直播状态”和“直播网址”是否已生效。

若配置成功，可将播流地址在视频播放器中打开观看，或直接在 iPhone 或安卓手机中打开播流地址。

第三步：使用 OBS Studio 将直播流信号转换为虚拟摄像头信号

因抖音直播伴侣无法使用播流地址作为视频源进行直播输出，故使用 OBS 将播流信号转化为虚拟的本机摄像头信号源供直播伴侣调用。

下载安装 OBS Studio，添加一个“场景”：

然后添加一个“媒体源”：

去掉“本地文件”前面的勾，将播流地址填到“输入”框中：

确定后即可预览到直播内容：

拖动视频区域可调整输出范围。

点击“启动虚拟摄像机”。

提示：OBS 创建的虚拟摄像机默认会从物理麦克风和桌面系统音频拾音，请按需在“混音器”中配置。

第四步：OBS 使用 VLC 视频源（此步可略过）

若 OBS 直接添加媒体源不稳定，可以使用 VLC 视频源。

下载安装 VLC 播放器。

在 OBS Studio 中添加来源，选择“VLC 视频源”：

点击“播放列表”右侧的“+”，选择“添加路径 /URL”：

填写播流地址并确定。

第五步：配置抖音直播伴侣使用 OBS 的虚拟摄像机信号源

下载安装抖音直播伴侣，在任意场景中添加素材，选择“摄像头”：

摄像头选择“OBS Virtual Camera”：

点击“开始直播”：

下一步：如何配置视频号/微博直播的推流直播监控摄像头画面