在NGINX作反向代理，CI（CodeIgniter）的PHP框架下限制管理目录的IP的实现

浏览数：128 / 时间：2015年06月09日

这个搞得有点久，不过，还算完美解决。

主要是前端NGINX，后端也是NGINX。

前端的NGINX不好作相关的URL权限限制，因为所有的URL在CI里都要经过INDEX.PHP重定向。

并且，在后端NGINX作限制，更比前端安全。

我大约是按以下几个套路来的，都是后端NGINX操作，是不是严格步骤，要进一步考察。

1，real_ip_header X-Forwarded-For;存放真实IP变量。（这一步未真再验证）

2，在配置里加入如下东东。（以限制url里有admin的关键字为例）



location  ~ .*admin.* {
                allow 192.168.1.0/28;#内网要开相关前端IP，这个验证过
                allow 1.2.3.4;#我们正正允许的IP
                deny all;#禁掉所有
                rewrite ^/(.*)$ /index.php/$1 last;#这个好关键，CI就是这样玩的，没办法。
                location ~ \.php(.*)$  {
                        fastcgi_pass   127.0.0.1:9000;
                        fastcgi_index  index.php;
                        fastcgi_split_path_info  ^((?U).+\.php)(/?.+)$;
                        fastcgi_param  SCRIPT_FILENAME  /wdzj/data$fastcgi_script_name;
                        fastcgi_param  PATH_INFO  $fastcgi_path_info;
                        fastcgi_param  PATH_TRANSLATED  $document_root$fastcgi_path_info;
                        include        fastcgi_params;
                }#再解析PHP，不如会有500之类解析错误
        }

顺便，再来个CI在NGINX下的跳转规则（因为NGINX不支持多条件判断，就用变量判断了）：

set $ci 0;
if (!-f $request_filename){
         set $ci "${ci}a";
}
if (!-d $request_filename){
         set $ci "${ci}b";
}
if ($uri !~ "^(index.php|images|robots.txt)"){
          set $ci "${ci}c";
}
if ( $ci = "0abc")
{
  rewrite ^/(.*)$ /index.php/$1 last;
}