Nginx的执行阶段详解

上篇文章中介绍了nginx的一种waf——naxsi，其中说到Nginx的执行阶段，这篇文章接上

在了解nginx的执行阶段前，先看一个例子

在server块中配置这样的location，你觉得输出是什么样子？

按照正常的逻辑，输出应该是32 56，我们请求下，看下nginx处理的结果

两次输出都是56，颠覆认知。这就是因为set和echo处在nginx不同的执行阶段，在nginx中，处在不同阶段的配置，和配置文件顺序没有任何关系

Nginx处理请求过程总共划分为11个阶段，按顺序依次是post-read、server-rewrite、find-config、rewrite、post-rewrite、preaccess、access、post-access、precontent、content以及log

看一下nginx源码中的定义，在http/ngx_http_core_module.h中

我这里是1.17.7版本的nginx，我看了nginx1.16.0版本一样，老一点的版本内容预处理阶段是try_files阶段

下面结合测试详细说一下每个阶段

post-read 阶段

该阶段是nginx接收完请求头之后的第一个阶段，它位于uri重写之前，该阶段很少用，很少有模块会注册在该阶段，默认情况下，该阶段被跳过，但是有个两个标准函数是注册在这个阶段的，set_real_ip_from、real_ip_header

看到real_ip有没有很熟悉，通常nginx日志或者后端需要获取客户端真实IP的时候，需要把cdn或者你前端的nginx或者代理的ip改写之后来获取，就会用到这个，下面看例子

通过curl -H添加header头请求，然后查看结果

通常多级代理，后端要获取真实IP就是通过这种自定义header的方式去获取

server-rewrite 阶段

该阶段是server级别的uri重写阶段，该阶段执行处于server块内，location块外的重写指令，在读取请求头的过程中nginx会根据host及端口找到对应的虚拟主机配置

该阶段不只是执行rewrite指令，通常该阶段包含标准函数ngx_rewrite、set，看例子

这里在server块内，location块外set一个变量a，在location中引用，因为server-rewrite阶段在前面，所以a变量会先赋值，查看结果

find-config 阶段

该阶段是寻找location配置阶段，该阶段使用重写之后的uri来查找对应的location，如果匹配到的location中有重写指令的话，该阶段会再次执行，直到匹配到最终的location

这个阶段的匹配工作是由nginx核心模块来完成的，并不支持nginx模块注册处理程序

这个阶段不太好整例子，想来想去没有想到可以体现的例子，但是debug日志可以体现，用上一个阶段的例子的请求日志看下

很直观，在执行完上个阶段的set $a之后，就开始匹配location，最终匹配到test，接着执行下面的阶段

rewrite 阶段

该阶段是location级别的uri重写阶段，该阶段执行location基本的重写指令，同样也可能被指定多次

直接写个跳转看日志

通过curl -L跟随跳转请求看下结果

查看debug日志

仍然是先执行server块内的set，之后匹配到rewrite的location，然后执行location内的rewrite

post-rewrite阶段

该阶段是location级别重写的后一个阶段，用来检查上阶段是否有uri重写，并根据结果跳转到合适的阶段

这个阶段紧接上一个阶段，是由nginx核心完成rewrite阶段所要求的跳转，即内部跳转

内部跳转本质上其实就是把当前的请求处理阶段跳回到find-config阶段，类似于条件分支循环，这也就是上面说到find-config阶段会被多次执行的原因。把上阶段的rewrite请求跳转到find-config阶段，重新进行请求uri和location配置块的配对，这个过程可以从上面阶段的后续debug日志可以看出来

rewrite被改写到test，然后开始重新匹配uri为test的location

接着执行find-config阶段的匹配过程，然后执行后面的阶段

preaccess 阶段

该阶段是访问权限控制的前一阶段，预控制阶段。该阶段在权限控制阶段之前，一般也用于访问控制，比如limit的限制速率、限制连接数等

该阶段包含的标准函数ngx_limit_req、ngx_limit_zone等

实例结合后面的下个阶段一起看

access 阶段

该阶段是权限访问控制阶段，比如基于IP黑白名单的权限控制，基于用户名密码的权限控制等

该阶段包含的标准函数ngx_access、ngx_auth_request函数等

结合preaccess，我们在同一个location中配置limit和access，如下

然后请求access看下结果

看下debug日志，分析处理阶段

先处理limit，然后接着处理access部分

post-access 阶段

该阶段是访问控制的后一阶段，和post-rewrite阶段类似，不支持nginx模块注册处理程序，由nginx核心自己完成处理工作，主要是配合access阶段实现后续处理

这里常用的指令是satisfy，它的功能类似if判断中的“与”、“或”关系，在access阶段可以注册多个nginx模块，比如上面提到的access模块和auth认证模块，如果两个模块都注册了，那么是执行哪个？按哪个匹配结果来执行，这个时候就用到satisfy，它就是让多个控制之间彼此协作

比如上面两个模块都在access阶段注册了与访问控制相关的处理程序，那就有两种协作方式，一是模块access和auth都通过验证才算通过，另外一种是只要其中任一通过验证就算通过。第一种方式为all方式，也就是“与”关系，第二种方式为any方式，也就是“或”关系，默认情况下nginx使用的是all方式

precontent 阶段

该阶段为生成内容的前一阶段，主要是用于处理try_files指令的配置，如果没有配置try_files指令，这个阶段会跳过，该阶段不支持nginx模块注册处理程序

try_files指令接受两个以上任意数量的参数，每个参数都指定一个uri，比如设置N个参数，nginx会在precontent阶段依次把前N-1个参数映射为文件系统上的文件或目录，逐个检查这些文件或目录是否存在。一旦Nginx匹配到某个文件或目录存在，就会在precontent阶段，把当前请求的uri改写为该对象所对应的参数uri，如果前N-1个参数所对应的文件或目录都不存在，则precontent阶段会发起内部跳转，按照最后一个参数所指定的uri进行find-config阶段

配置个try_files来看下执行过程

请求try，看下结果

并没有执行echo uri部分，而是到test的location了，看下debug日志

可以看到和我们上面说的结果一致

content 阶段

该阶段是所有阶段中最重要的一个阶段，该阶段负责内容生成，并输出http响应。通过nginx配置文件中的配置指令，生成响应内容，返回给客户端，这个阶段的配置指令例如echo、proxy_pass等

日志体现该阶段

log 阶段

该阶段就是日志记录阶段，根据log配置写入日志文件，比如log级别，日志格式logformat等，包含nginx的access_log和error_log等

在debug日志中也有记录

请求返回给客户端后，记录日志，然后保持keepalive，如果是不需要keepalive的时候，直接close连接

以上就是nginx处理请求的11个阶段，熟悉之后，对nginx的了解更深