从此

Nginx反向代理、HAProxy负载均衡(h2c)、Java HttpClient、Jetty HTTP Client、NanoHTTPD Web Server

综合/最新

新:
  NGINX 1.29.4+ 支持 HTTP/2: proxy_http_version 2; 似乎也支持了 H2C!?

常用配置:
  反向代理 - 
    Nginx:
location / {
  proxy_pass http://localhost:8000;
  proxy_set_header Host $host;
}

    HAProxy:
frontend f1
    mode http
    bind :80
    acl a-name hdr(host) -i domain.name
    use_backend b1 if a-name
backend b1
    mode http
    server s1 localhost:8080


代理间交互:启用 PROXY protocol 来传递 原始客户端 IP:Port 信息,比用 X-Forwarded-For 传递更标准化,Nginx 和 HAProxy 均已支持。

Let's Encrypt 证书:
  cert.pem      域名证书文件。
  chain.pem     中间证书链文件,用于验证证书的完整性。
  fullchain.pem 完整证书链文件,即 cert.pem + fullchain.pem,亲测可用于 Nginx、HAProxy 配置。
  privkey.pem   私钥文件,切勿泄露。

  生成KeyStore文件: openssl pkcs12 -export -out keystore.p12 -inkey privkey.pem -in fullchain.pem -password pass:secret -name optional-alias

Nginx

综合:
  Debian 13 默认Nginx版本为1.26;首选多支持一些额外模块的 nginx-full;若基本使用只需安装 nginx-core(即nginx)。
  错误页面 return 404; 若要直接关闭连接(防DDOS攻击)可用非标准的 return 444; 浏览器报 net::ERR_EMPTY_RESPONSE,curl 报 Empty reply from server。

  命令:
    禁用开机启动 sudo systemctl disable nginx

  巡查:
    访问日志  sudo cat /var/log/nginx/access.log
    报错日志  sudo cat /var/log/nginx/error.log

  会走HTTP/1.X头Upgrade至HTTP/2的ALPN协商流程: curl --http2 localhost:8080
    说明 - Connection头此处是为了告诉中间代理,Upgrade头仅用于首跳使用,不要原样向上游传。
    Connection: Upgrade
    Upgrade: h2

  不走HTTP/1.X头Upgrade至HTTP/2的ALPN协商流程(无需配置证书): curl --http2-prior-knowledge localhost:8080  会输出 HTTP/2.0、request.isSecure() == false
    server {
	listen 8080 http2;
	location / {
		return 200 "it's ok!";
	}
    }

http跳转https:
      server {
        listen 80 default_server; server_name _;
        
        return 301 https://$host$request_uri;
      }

反向代理:
  proxy_pass 缓存状态取决于目标网页的响应头配置,或自定义proxy_cache。

  最简配置:
    location / {
      
      proxy_pass http://localhost:8000;
      
      proxy_set_header Host $host;
    }

  最佳实践:
    location / {
      
      proxy_pass http://localhost:8000;
      
      proxy_set_header Host $host;

            
      #proxy_http_version 2;
      
      proxy_set_header Connection "";

      
      proxy_set_header X-Forwarded-Proto $scheme;
            
      proxy_set_header X-Real-IP $remote_addr;
    }

    location = /manifest.json {
      default_type application/json;
      return 200 '{"name": "应用名字", "id": "唯一标识"}';
    }

上传文件Size限制:
    location ^~ /main/apis/more/default/public/upload-to-storage {
      try_files $uri @backend;
      client_max_body_size 10m;  # 暂用前端限制,Nginx只设最大值。
    }

CORS跨域:
    location / {
        # Access-Control-Allow-Origin、Access-Control-Allow-Credentials 必须同时存在于预检和实际响应中。
        add_header 'Access-Control-Allow-Origin' '*'; # 允许所有域名跨域
        #add_header 'Access-Control-Allow-Credentials' 'true'; # 若 fetch 配置了 credentials: "include" 则必须加上。

        # GET, POST, OPTIONS 之外的请求,浏览器才会预检;缓存时效为2小时。
        if ($request_method = 'OPTIONS') {
            #add_header 'Access-Control-Allow-Methods' 'DELETE, PUT'; # GET, POST, OPTIONS 已列入白名单,只需写上额外请求方法。
            #add_header 'Access-Control-Allow-Headers' 'User-Agent,X-Requested-With,If-Modified-Since,Cache-Control'; # [限制传入头]未列入则预检失败。
            add_header 'Access-Control-Max-Age' 7200;
            add_header 'Content-Length' 0;
            return 204;
        }

        #if ($request_method = 'POST') {
        #  add_header 'Access-Control-Expose-Headers' 'Content-Range'; # [不参与预检/只存在于实际响应]告知fetch置null未列入的响应头。
        #}

        # 其他配置 - 支持 try_files $uri @backend;
        proxy_pass http://backend;
        proxy_set_header Host $host;
    }

SSE流式通讯:
  浏览器SSE客户端,传入虽然支持HTTP/1.1,但最好走HTTP/2协议,proxy_pass 透传 SSE 的连接数未做限制,故影响不到浏览器的连接数限制(6个/HTTP2默认100个);跨域头跟普通页面无异。
    location /sse {
      proxy_pass http://ip:9080; #  SSE不支持try_files指令
      proxy_set_header Host $host;

      proxy_set_header Connection "";
      proxy_set_header X-Forwarded-Proto $scheme;
      proxy_set_header X-Real-IP $remote_addr;

      proxy_buffering off; # 或业务端控制 response.setHeader("X-Accel-Buffering", "no");
      proxy_read_timeout 12h; # Nginx默认1分钟。
    }

WebSocket配置:
  location ^~ /websocket/ {
      proxy_pass http://ip:9080; #  支持try_files指令?
      proxy_set_header Host $host;

      #proxy_set_header Connection "";
      proxy_set_header X-Forwarded-Proto $scheme;
      proxy_set_header X-Real-IP $remote_addr;

      proxy_set_header Upgrade $http_upgrade;
      proxy_set_header Connection "upgrade";
      #proxy_read_timeout 12h; # Nginx默认1分钟;要么加长超时,要么上WebSocket Ping Pong机制。
  }

HTTP Web C/S

Java HTTP Client
SSE客户端则为jakarta.ws.rs.sse.SseEventSource,或java.net.http.HttpClient响应至超时,若存在结束标记,则可调HttpClient.shutdownNow()避免一直等到超时。
  implementation("org.glassfish.jersey.media:jersey-media-sse:4.0.0-M2")
  implementation("org.apache.cxf:cxf-rt-rs-sse:4.1.0")

H2C:
  Netty需要显式设置HttpClient.create().protocol(HttpProtocol.H2C); 而 java.net.http.HttpClient 则不需要。
        var bv=Base64.getEncoder().encodeToString("clientId:clientSecret".getBytes());
        var r = HttpClient.newHttpClient().send(HttpRequest.newBuilder(
                URI.create("https://example.com/oauth2/token"))
                .POST(HttpRequest.BodyPublishers.ofString("grant_type=refresh_token&refresh_token=" + rt))
                .header("Content-Type", "application/x-www-form-urlencoded")
                .header("Authorization", "Basic " + bv) // or JS - btoa("clientId:clientSecret")
                .build(), HttpResponse.BodyHandlers.ofString()).body();
        System.out.println(r);

  POST multipart/form-data数据:
    // implementation("org.apache.httpcomponents.client5:httpclient5:5.4.2")
    var me = MultipartEntityBuilder.create().addTextBody("substringLength", "36")
            //.addTextBody("dataText", "x", ContentType.TEXT_PLAIN.withCharset(Charset.defaultCharset()))
            .build();
    var baos = new ByteArrayOutputStream();
    me.writeTo(baos);

    var r = HttpClient.newHttpClient().send(HttpRequest.newBuilder(
            java.net.URI.create("https://localhost/path/url-slug"))
            .POST(HttpRequest.BodyPublishers.ofByteArray(baos.toByteArray()))
            //ContentType.MULTIPART_FORM_DATA.withParameters(new BasicNameValuePair("boundary", ctb)).toString()
            .header("Content-Type", me.getContentType())
            .build(), HttpResponse.BodyHandlers.ofString()).body();
    System.out.println(r);

  响应处理:Java26+ HttpResponse.BodyHandlers.ofFileChannel(FileChannel,long,long)。
Jetty Servlet Server
注意 - Jetty ResourceHandler 默认使用内存映射,常把 docker 搞崩,暂禁用之 _ResourceHandler.setMinMappedFileSize(0);
  ServletContextHandler 缺失 WebAppContext 对 @WebServlet 注解的支持,ContextHandlerCollection 可使两者并存。
  动态添加:
    var h = new ServletHolder(NewServlet.class); //h.setHeldClass(NewServlet.class); // 或构造函数入参
    h.setInitOrder(1); // 为 0 则懒加载 Servlet
    context.addServlet(h, "/s").getRegistration().setMultipartConfig(mc); // ServletHolder 无此配置。


Jetty反向代理: org.eclipse.jetty.ee10.proxy.AsyncProxyServlet兼容javax或jakarta的Servlet代理库

解决 ResourceHandler + setDirAllowed(true) 报 “Ambiguous URI empty segment”:
  server.getConnectors()[0].getConnectionFactory(HttpConnectionFactory.class).getHttpConfiguration().setUriCompliance(UriCompliance.LEGACY);
  或 new HttpConfiguration().setUriCompliance(UriCompliance.LEGACY);

配置TLS证书;
  var scf = new SslContextFactory.Server(); scf.setKeyStorePassword("x"); scf.setKeyStorePath("C:\\keystore.p12");
  // 尾参 ConnectionFactory[] 顺序通常必须 ALPN 为首,如果未指定 defaultProtocol 则取紧跟其后的首个 ConnectionFactory,即简写为 new ALPNServerConnectionFactory()。
  new ServerConnector(server, scf, new ALPNServerConnectionFactory("h2", // 非全称 HTTP/2 且全部小写。
    HttpVersion.HTTP_1_1.asString().toLowerCase()), new HTTP2ServerConnectionFactory(hc), new HttpConnectionFactory(hc));
    仅 HTTP/1.1 调试用 - if (isWin) { sc = new ServerConnector(server, new HttpConnectionFactory(hc)); }
  监听TLS握手:
        var listener = new SslHandshakeListener() {
            @Override public void handshakeSucceeded(SslHandshakeListener.Event e) throws SSLException {
                System.out.println(e.getSSLEngine().getPeerHost());
            }
            @Override public void handshakeFailed(SslHandshakeListener.Event e, Throwable failure) {
                failure.printStackTrace(System.err); // e.getSSLEngine()...
            }
        };
        sc.addBean(listener);

Jetty最精简HttpServer: 
    // implementation(platform("org.eclipse.jetty:jetty-bom:12.1.2"))  // 未包含 org.eclipse.jetty.ee11 等库。
    // implementation("org.eclipse.jetty:jetty-server")
    public static void main(String[] args) throws Exception {
        var server = new Server(); // Android 14 及早期版本均报 Didn't find class "java.util.ServiceLoader$Provider",可换用 jetty-server:9.x 或 NanoHTTPD;Android 15 则添加了该类;desugar_jdk_libs 补全不了。
        var sc = new ServerConnector(server);
        sc.setPort(8080); // 入参0则端口由系统分配,取端口号:int port = ((ServerConnector) ss.getConnectors()[0]).getLocalPort();
        // 或 new ServerConnector(server, sslContextFactory, new ALPNServerConnectionFactory(), new HTTP2ServerConnectionFactory(new HttpConfiguration()));
        server.addConnector(sc);
        connector.addEventListener(new NetworkConnector.Listener() {
            @Override public void onOpen(NetworkConnector nc) { System.out.println(nc.getLocalPort()); }
        }); // [可选] 通过监听器获取端口号。
        server.setHandler(new Handler.Abstract() {
            @Override
            public boolean handle(org.eclipse.jetty.server.Request r, Response rr, Callback cb) {
                System.out.println("handle");
                cb.succeeded(); // org.eclipse.jetty.io.Content.copy(r, rr, cb);
                return true;
            }
        });
        /* 
          // Servlet - implementation("org.eclipse.jetty.ee10:jetty-ee10-servlet:12.0.16")
          var context = new ServletContextHandler();
          context.addServlet(staticServlet.class, "/");
          server.setHandler(context);

          var rh = new ResourceHandler();
          rh.setBaseResourceAsString(tmpDir);
          rh.setDirAllowed(true);
          // 目录别斜杠结尾,否则会变双斜杠。
          server.setHandler(new ContextHandler(rh, "/.well-known/tmp"));
        */
        server.start();
    }
    public static class staticServlet extends HttpServlet {

        @Override
        protected void doGet(HttpServletRequest r,
                HttpServletResponse rr) throws IOException {
            rr.getWriter().println("x");
        }
    }

  HTTP3 Client:
    //implementation("org.eclipse.jetty.http3:jetty-http3-client:12.1.8") // jetty-quic-quiche-client:12.1.8
    var client = new HTTP3Client(HTTP3ClientQuicConfiguration.configure(new QuicheClientQuicConfiguration()));
    client.getHTTP3Configuration().setStreamIdleTimeout(15000);
    client.start(); System.out.println("start");
    //  curl --http3-only -I https://http3.is -vvv
    client.connect(new QuicheTransport(new QuicheClientQuicConfiguration()),
            new InetSocketAddress("http3.is", 443), new Session.Client.Listener() {
    }, new Promise.Invocable.NonBlocking<>() {
        @Override public void succeeded(Session.Client result) { System.out.println("ok"); }
        @Override public void failed(Throwable x) { x.printStackTrace(System.err); }
    });
NanoHTTPD Web Server
    implementation("org.nanohttpd:nanohttpd-webserver:2.3.1")
    // https://github.com/NanoHttpd/nanohttpd/blob/master/webserver/src/main/java/org/nanohttpd/webserver/SimpleWebServer.java
    var server = new fi.iki.elonen.SimpleWebServer("localhost", 9458, MainActivity.this.getFilesDir(), true, "*");
    try {
        server.start(NanoHTTPD.SOCKET_READ_TIMEOUT, false);
    } catch (IOException ioe) {
        System.err.println(ioe);
        //System.exit(-1);
    }

HAProxy

说明:
  HAProxy 1.9+ 支持 h2c,默认上传文件大小未做限制。
  frontend 配置浏览器至 HAProxy 的访问协议,backend 配置 HAProxy 反向代理的访问协议;mode 默认值为 tcp,建站则通常配置为 mode http,其值http含https。

官方文档 - https://www.haproxy.org

安装/管理:
  sudo apt -y install haproxy
  sudo cp /etc/haproxy/haproxy.cfg .
  说明 - 该配置文件未配置frontend和backend,需自行配置;default_backend 为兜底配置。
  sudo vim.tiny /etc/haproxy/haproxy.cfg

frontend f1
    mode http  # 默认值为 tcp
    bind :80   # http to https; 可与bind :443 ...并存
    #http-request redirect scheme https unless { ssl_fc }
    #bind :443 ssl crt /etc/haproxy/our.pem alpn h2,http/1.1
    acl a-name hdr(host) -i domain.name  # 若 bind :8443 则 acl 要写明端口 domain.name:8443,证书不分端口,Service Worker 也能跑在 8443 上。
    use_backend b1 if a-name
    default_backend b2

backend b1
    mode http
    server s1 23.192.228.84:80

backend b2
    mode http
    server s2 23.192.228.84:80

  sudo systemctl restart haproxy
  curl.exe -HHost:example.com http://34.169.255.233 -I

用法:
  隐式 and 条件:if { path_beg /images/ } { method POST } 若显式写上 and 则报:no such ACL : 'and'
  自头匹配用 path_beg;精确匹配用 path:
    http-request redirect code 301 location https://tsc.openle.com/.well-known/temporary/favicon-temporary.ico if { path /favicon.ico }

  取正则表达式匹配部分:
    http-request redirect code 301 location /?url=%[path,'regsub("^/main/apis/more/risky/mixed-content/(.*)$","\1")'] if risky-path

    # capture.req.uri指完整URL。
    http-request set-var(txn.user_id) capture.req.uri
    # field指按冒号分隔取第1个。
    http-request set-var(txn.user_id) capture.req.uri,field(1,:)
    http-request redirect code 301 location /?url=%[var(txn.user_id)] if risky-path

  H2C 配置:
    说明 - H2C Servlet request.getProtocol() 输出 HTTP/2.0 即配置正确;即 mode http + proto h2(缩写自h2c/已解析https请求体)。

backend h2c
    mode http
    server s1 192.168.0.10:80 proto h2

其他