Client | Browser | Web Server | nginx | 原理 Intro HTTP/2 – Wikipedia HTTP 1.0 -> HTTP 1.1 -> HTTP 2.0 -> HTTP 3.0 (QUIC) – ByteByteGoHq 相較於 HTTP 1.1，主要解決 HOL (head-of-line) blocking 應用層問題，Frame 編碼改用 Huffman Coding，Header 另外採用 HPACK […]

Intro Two-way SSL即Server端也要求Client端提供certificate做驗證，handshake流程上是Client端先驗證Server端後才換Server端驗證Client端。 圖片來源：web-service-principles – HTTP Client端憑證 Client端提供終端憑證並設定使用該憑證對應的Private Key； Server端設定Client端的CA憑證，以用於驗證Client端提供的終端憑證。 [Server] TLS/SSL憑證(Certificate)常用指令 – 製作CSR Nginx設定 Nginx可以在Server block上啟用驗證Client端certificate： server { listen 443 ssl; ssl_certificate /etc/nginx/ssl/public.crt; ssl_certificate_key /etc/nginx/ssl/private.rsa; # Client certificate verification ssl_client_certificate /etc/nginx/ssl/client_ca.pem; ssl_verify_client on; server_name api.my_domain.com; location / { # […]

Intro Nginx限制訪問速率模組：Nginx http_limit_req 原理 使用leaky bucket原理(可以稱漏桶原理)，桶的概念如下： 桶中存放request (令牌的概念) 桶上方由Nginx照設定速率計算補充request 桶下方提供提取request，即一個Request會消耗掉桶中存放的一個request Nginx對於桶的特性如下： 單一IP對應使用一個桶 limit_req_zone中rate是以request數量回推時間做補充的，依照兩次領取的時差補充相應的量 limit_req中burst即定義桶的request最大存放量，在每個新IP(不在Zone中)進入時會拿到全滿request(burst量)的桶 重啟Nginx會清空Zone，意即所有桶的剩餘Quota記憶清除，重新以全滿計算 比照實際設定，limit_req_zone $binary_remote_addr zone=one:10m rate=6r/m;即每間隔10秒可以得到一個request補充量。以rate=100r/s速率來說明，即每0.01秒得一個request補充量，間距0.1秒計算得10個request補充量； 而limit_req zone=one burst=5 nodelay;則表示每個IP桶最大預存的request量為5，有用掉則需等待補充。 Nginx實際上實作leaky bucket補充的方式可能為Trigger回填間隔補充量方式，本篇僅為概念說明，不代表實際Nginx演算法 Reference Nginx下limit_req模块burst参数超详细解析