现在很多后台应用需要通知信息给用户，支持通知的方式有很多，server酱，丁丁，企业微信，bark，WxPusher，等等的五花八门，我最喜欢的则是企业微信，因为不需要安装其他应用，推送的消息也干净清爽，不夹杂其他内容。从2022年6月20日开始，企业微信新建应用发送消息的时候，必须要添加信任IP，这个IP就是发起请求端的源IP，很多家用宽带的公网IP都是动态的，重启就变，这对于使用企业微信则带来了不便。解决这个问题有两种方法，要求动手能力稍强，两种方法都需要有自己的vps。
1，利用nginx反代，把请求先发送到vps，然后由vps向腾讯发起请求，在企业微信的应用里，添加vps 的IP为信任IP即可。反代代码如下:

server {
    listen 443;
    server_name  xxx.xxx.xxx;
    add_header Strict-Transport-Security "max-age=15768000" always;
    access_log  /var/log/nginx/xxx.xxx.xxx.log  main;
    root   /data/www;
    index  index.php index.html index.htm;


   location / {
proxy_pass https://qyapi.weixin.qq.com/;
}
ssl_certificate /data/webkey/xxx.xxx.xxx.crt;
     ssl_certificate_key /data/webkey/xxx.xxx.xxx.key;
     ssl_protocols TLSv1.1 TLSv1.2 TLSv1.3; 
     ssl_ciphers  TLS13-AES-256-GCM-SHA384:TLS13-CHACHA20-POLY1305-SHA256:TLS13-AES-128-GCM-SHA256:TLS13-AES-128-CCM-8-SHA256:TLS13-AES-128-CCM-SHA256:EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+ECDSA+AES128:EECDH+aRSA+AES128:RSA+AES128:EECDH+ECDSA+AES256:EECDH+aRSA+AES256:RSA+AES256:EECDH+ECDSA+3DES:EECDH+aRSA+3DES:RSA+3DES:!MD5;     
     ssl_prefer_server_ciphers on;
     ssl_early_data on;
     ssl_stapling on;
     ssl_stapling_verify on;


    }

server {
    listen 80;
    server_name xxx.xxx.xxx;
    rewrite ^(.*)$ https://${server_name}$1 permanent; 
    if ($host != 'xxx.xxx.xxx'){
   return 403;
}

}

这样一来，在应用端，把请求链接中的https://qyapi.weixin.qq.com 替换成自己的地址https://xxx.xxx.xxx即可。

2，对于一些支持自定义通知的应用，我们还可以使用基于企业通知的接口，搭建自己的API，因为使用企业微信的通知，需要经过获取token ，然后使用token发送消息，mpnews模板还需要上传素材获取media-id这几个阶段。而支持自定义应用的配置都只让填写一行url来完成推送，一条url无法完成上述多个请求动作，所以，我考虑到把请求都有vps 来完成，网上我找了好久，找到了如下代码。我是搞硬件基础架构的，对php代码来说，一窍不通，但是凭着我对这些东西的敏感性，还是搞清楚了代码的作用。下面附上代码。代码里有些php 是我自己写的，我都佩服自己，觉得该去学编程，但是头发不够了。哈哈哈~

<?php
//获取通过post或者get传递的值并赋值给变量
$title = $_POST['title'];
$content = $_POST['content'];
$msgtype = $_POST['msgtype'];
$url = $_POST['url'];
$picurl = $_POST['picurl'];
$title = $_GET['title'];
$content = $_GET['content'];
$msgtype = $_GET['msgtype'];
$url = $_GET['url'];
$picurl = $_GET['picurl'];

if (!$content){
echo '<h1>企业微信通知API</h1>';
        echo '<hr/>';
        echo '<h4>输入参数以继续，支持POST或者GET请求方式。</h4>';
        echo '<p><b>文本消息(text)</b>：以文字形式通知消息</p>';
        echo '<p><b>示例</b>：<a href="?content=这是一条测试信息&msgtype=text">https://xxx.xxx.xxx/?content=这是一条测试信息&msgtype=text</a></p>';
        echo '<hr/>';
        echo '<p><b>文本卡片消息(textcard)</b>：以卡片形式通知消息</p>';
        echo '<p><b>示例</b>：<a href="?title=通知测试&content=这是一条测试信息&url=https://www.mr-mao.cn&msgtype=textcard">https://xxx.xxx.xxx/?title=通知测试&content=这是一条测试信息&url=https://www.mr-mao.cn&msgtype=textcard</a></p>';
        echo '<hr/>';
        echo '<p><b>图文消息(news)</b>：以图文形式通知消息</p>';
        echo '<p><b>示例</b>：<a href="?title=通知测试&content=这是一条测试信息&picurl=https://www.mr-mao.cn/usr/logo.png&url=https://api.mr-mao.cn/60s/pic/&msgtype=news">https://xxx.xxx.xxx/?title=通知测试&content=这是一条测试信息&picurl=https://www.mr-mao.cn/usr/logo.png&url=https://api.mr-mao.cn/60s/pic/&msgtype=news</a></p>';
        echo '<hr/>';
        echo '<p><b>图文消息(mpnews)</b>：以富文本图文形式通知消息</p>';
        echo '<p><b>示例</b>：<a href="?title=通知测试&content=这是一条测试信息&msgtype=mpnews">https://xxx.xxx.xxx/?title=通
知测试&content=这是一条测试信息&msgtype=mpnews</a></p>';
        echo '<hr/>';

}else{

// 声明页面 header
header("Content-type:text/html;charset=utf-8");
// 获取 access_token
function getToken(){
 // 定义 id 和 secret
 $corpid='xxxxxx';//这里填写你的企业 ID
 $corpsecret='xxxxxxxxxxxxxxxx';//这里填写你刚创建的应用 secret
 // 读取 access_token
 include './access_token.php';
 // 判断是否过期
 if (time() > $access_token['expires']){
 // 如果已经过期就得重新获取并缓存
 $access_token = array();
 $access_token['access_token'] = getNewToken($corpid,$corpsecret);
 $access_token['expires']=time()+7000;
 // 将数组写入 php 文件
 $arr = '<?php'.PHP_EOL.'$access_token = '.var_export($access_token,true).';'.PHP_EOL.'?>';
 $arrfile = fopen("./access_token.php","w");
 fwrite($arrfile,$arr);
 fclose($arrfile);
 // 返回当前的 access_token
 return $access_token['access_token'];
 }else{
 // 如果没有过期就直接读取缓存文件
 return $access_token['access_token'];
 }
}
// 获取新的 access_token
function getNewToken($corpid,$corpsecret){
 $url = "https://qyapi.weixin.qq.com/cgi-bin/gettoken?corpid={$corpid}&corpsecret={$corpsecret}";
 $access_token_Arr = https_request($url);
 return $access_token_Arr['access_token'];
}
// curl 请求函数
function https_request ($url){
 $curl = curl_init();
 curl_setopt($curl, CURLOPT_URL, $url);
 curl_setopt($curl,CURLOPT_RETURNTRANSFER,1);
 curl_setopt($curl, CURLOPT_SSL_VERIFYPEER, false);
 $out = curl_exec($curl);
 curl_close($curl);
 return json_decode($out,true);
}
//获取mpnews消息所需的media_id

if ($msgtype == "mpnews"){
include './access_token.php';
$token = $access_token['access_token'];
$curl = curl_init();
curl_setopt_array($curl, array(
  CURLOPT_URL => "https://qyapi.weixin.qq.com/cgi-bin/media/upload?access_token=$token&type=image",
  CURLOPT_RETURNTRANSFER => true,
  CURLOPT_ENCODING => '',
  CURLOPT_MAXREDIRS => 10,
  CURLOPT_TIMEOUT => 0,
  CURLOPT_FOLLOWLOCATION => true,
  CURLOPT_HTTP_VERSION => CURL_HTTP_VERSION_1_1,
  CURLOPT_CUSTOMREQUEST => 'POST',
  CURLOPT_POSTFIELDS => array('media'=> new CURLFILE('logo.png')),//需要在程序同级目录下放通知消息的头图文件
));

$response = curl_exec($curl);
curl_close($curl);
$data = json_decode($response,true);
$media_id = $data['media_id'];
}
// 发送应用消息函数
function send($data){
 $curl = curl_init();
 curl_setopt($curl, CURLOPT_URL, 'https://qyapi.weixin.qq.com/cgi-bin/message/send?access_token='.getToken());
 curl_setopt($curl, CURLOPT_POST, true);
 curl_setopt($curl, CURLOPT_POSTFIELDS, $data);
 curl_setopt($curl, CURLOPT_SSL_VERIFYPEER, 0);
 curl_setopt($curl, CURLOPT_SSL_VERIFYHOST, 2);
 curl_setopt($curl, CURLOPT_RETURNTRANSFER, true);
 return curl_exec($curl);
}
 // 文本卡片消息体
 $postdata = array(
 'touser' => '@all', //不需要写联系人，会发送给所有人
 'msgtype' => $msgtype,
 'agentid' => 'xxxxxxxxx',//这里填写你刚创建的应用 AgentId
 "$msgtype" => array(
 "content" => "$content",
 'title' => $title,
 'description' => $content,
 'url' => $url,
 'articles' => array(
 'title' => $title,
 "author" => "FatCat", //自定义作者
 "digest" => $content,
 "content" => $content,
 'thumb_media_id' => $media_id,
 'description' => $content,
 'picurl' => $picurl,
 'url' => $url,
),
 ),
 'enable_id_trans' => 0,
 'enable_duplicate_check' => 0,
 'duplicate_check_interval' => 1800
);
// 调用发送函数
 echo send(json_encode($postdata));
// echo "$title, $description"
}
?>

至此，支持三种消息模板的api搭建完成，enjoy it！访问自己的链接，则可出现简易的参数模板，具体参数点击下面的链接查询，此时，这个api则可以用在任何支持自定义通知的应用中。同时支持post或者get请求。

不同模板所需的请求参数参考腾讯企业的文档库

handsome主题默认右侧广告栏滚动到顶部后是只有文章目录是置顶的，而广告栏会被滚动出可视范围，只需要在主题设置里面加一些js代码即可实现广告栏与目录同时置顶。
本文转载自网络，如若侵权，联系我

自定义JS部分

如果没开启Pjax
首先需要在主题设置的开发者设置 - 自定义JavaScript中加入如下代码：

    // 固定广告
    var sidebar = $('#a_d_sidebar'),tagToc = $('#tag_toc'), ost;
    sidebar.attr('otop', sidebar.offset().top);
    $(window).scroll(function () {
      ost = (document.body.scrollTop || document.documentElement.scrollTop) - 10;
      if (ost >= parseInt(sidebar.attr('otop'))) {
        tagToc.addClass('fixed-me');
        if (sidebar.css('position') != 'fixed' && document.body.clientWidth >= 992) {
          sidebar.css({"position": 'fixed', "top": "50px" });
          tagToc.css({"position": 'fixed', "top": "330px" });
        } else if (document.body.clientWidth < 992) {
          sidebar.css({"position": 'static' });
          tagToc.css({"position": 'static' });
          tagToc.removeClass('fixed-me');
        }
    
      } else if (sidebar.css('position') != 'static') {
        sidebar.css({"position": 'static' });
        tagToc.css({"position": 'static' });
      }
    });

加入这部分代码后，刷新页面然后上下滚动就能看到广告栏会自动置顶了

如果开启了Pjax
如果开启了主题的pjax功能的话，你会发现上面的代码设置后，虽然每次手动刷新后确实广告能固定了，不过如果是无刷新切换到其他页面，广告还是会滚动到可视范围外，因为pjax并不会重新执行上面的代码，我们需要同时在主题设置的开发者设置 - 自定义 JavaScript和PJAX - PJAX回调函数中都加入如下代码

    // 固定广告
    var sidebar = $('#a_d_sidebar'),tagToc = $('#tag_toc'), ost;
    sidebar.attr('otop', sidebar.offset().top);
    $(window).scroll(function () {
      ost = (document.body.scrollTop || document.documentElement.scrollTop) - 10;
      if (ost >= parseInt(sidebar.attr('otop'))) {
        tagToc.addClass('fixed-me');
        if (sidebar.css('position') != 'fixed' && document.body.clientWidth >= 992) {
          sidebar.css({"position": 'fixed', "top": "50px" });
          tagToc.css({"position": 'fixed', "top": "330px" });
        } else if (document.body.clientWidth < 992) {
          sidebar.css({"position": 'static' });
          tagToc.css({"position": 'static' });
          tagToc.removeClass('fixed-me');
        }
    
      } else if (sidebar.css('position') != 'static') {
        sidebar.css({"position": 'static' });
        tagToc.css({"position": 'static' });
      }
    });

自定义CSS部分

无论开没开PJAX，都请在主题设置的开发者设置 - 自定义CSS中加入如下代码：

    .fixed-me .tags{
        width: 199px;
        overflow: hidden;
    }
    
    .fixed-me #toc{
        width: 199px;
        max-height: 700px;
        overflow-x: hidden;
        position: relative;
    }

资源来源于网络

开启GIZP压缩
适当的对文档类型开启Gzip压缩可以减少流量传输时间，大幅提高页面加载速度，节省带宽。

修改配置为

    gzip on; #开启gzip压缩功能
    gzip_min_length 10k; #设置允许压缩的页面最小字节数; 这里表示如果文件小于10个字节，就不用压缩，因为没有意义，本来就很小.
    gzip_buffers 4 16k; #设置压缩缓冲区大小，此处设置为4个16K内存作为压缩结果流缓存
    gzip_http_version 1.1; #压缩版本
    gzip_comp_level 2; #设置压缩比率，最小为1，处理速度快，传输速度慢；9为最大压缩比，处理速度慢，传输速度快; 这里表示压缩级别，可以是0到9中的任一个，级别越高，压缩就越小，节省了带宽资源，但同时也消耗CPU资源，所以一般折中为6
    gzip types text/css text/xml application/javascript; #制定压缩的类型,线上配置时尽可能配置多的压缩类型!
    gzip_disable "MSIE [1-6]\."; #配置禁用gzip条件，支持正则。此处表示ie6及以下不启用gzip（因为ie低版本不支持）
    gzip vary on; #选择支持vary header；改选项可以让前端的缓存服务器缓存经过gzip压缩的页面; 这个可以不写，表示在传送数据时，给客户端说明我使用了gzip压缩
    设置expires页面缓存时间

合理配置expires可以起到控制页面缓存,减少服务器的请求的作用，具体详情配置可参看官方文档。以下配置可以在http段中或者

    server段中或者location段中加入
    location ~ \.(gif|jpg|jpeg|png|bmp|ico)$ {
       root /var/www/img/;
       expires 30d; # 30m：30 分钟，2h：2 小时，30d：30 天
    }
    控制图片等过期时间为30天，当然这个时间可以设置的更长。具体视情况而定
    优化事件处理模型use epoll

epoll用在linux上, kqueue用在bsd上, 不能物理上共存。如果你的服务器cpu较好，linux新内核，可考虑用epoll。

    events {
        #单个进程允许的客户端最大连接数
        worker_connections  20480;
        #收到一个新连接通知后接受尽可能多的连接。
        multi_accept on; 
        #使用epoll模型
        use epoll;
    }

高效文件传输模式

参数sendfile on（主要用于文件下载） 用于开启文件高效传输模式，同时将tcp_nopush on 和tcp_nodelay on 两个指令设置为on，可防止网络及磁盘I/O阻塞，提升Nginx工作效率。

    #开启高效文件传输模式
    sendfile on;
    #减少网络报文段数量
    tcp_nopush on;
    #提高I/O性能
    tcp_nodelay on;
    优化服务器域名的散列表大小

如果在 server_name 中配置了一个很长的域名，那么重载 Nginx 时会报错，因此需要使用 server_names_hash_max_size 来解决域名过长的问题。

域名散列表大小

    server_names_hash_bucket_size 64;
    server_names_hash_max_size 2048;

优化worker服务进程数

worker进程数最开始的设置可以等于CPU的核数，高流量高并发场合也可以考虑将进程数提高至CPU核数*2, 设置太多没有意义。

查看CPU总颗数：

    [root@nginx conf]# grep 'physical id' /proc/cpuinfo|sort|uniq|wc -l
    1
    #查看CPU总核数：
    [root@nginx conf]# grep processor /proc/cpuinfo |wc -l
    4
    #CPU的总核数4
    worker_processes  4;

FastCGI参数调优

    如果是动态请求（如 PHP），Nginx 就会把它通过FastCGI转发给 PHP引擎服务（即 php-fpm）进行解析。
    fastcgi_connect_timeout 240; # Nginx服务器和后端FastCGI服务器连接的超时时间
    
    fastcgi_send_timeout 240; # Nginx允许FastCGI服务器返回数据的超时时间，即在规定时间内后端服务器必须传完所有的数据，否则Nginx将断开这个连接
    
    fastcgi_read_timeout 240; # Nginx从FastCGI服务器读取响应信息的超时时间，表示连接建立成功后，Nginx等待后端服务器的响应时间
    
    fastcgi_buffer_size 64k; # Nginx FastCGI 的缓冲区大小，用来读取从FastCGI服务器端收到的第一部分响应信息的缓冲区大小
    
    fastcgi_buffers 4 64k; # 设定用来读取从FastCGI服务器端收到的响应信息的缓冲区大小和缓冲区数量
    
    fastcgi_busy_buffers_size 128k; # 用于设置系统很忙时可以使用的 proxy_buffers 大小
    
    fastcgi_temp_file_write_size 128k; # FastCGI 临时文件的大小
    
    # fastcti_temp_path /data/ngx_fcgi_tmp; # FastCGI 临时文件的存放路径
    
    fastcgi_cache_path /data/ngx_fcgi_cache levels=2:2 keys_zone=ngx_fcgi_cache:512m inactive=1d max_size=40g; # 缓存目
    fastcgi_cache ngx_fcgi_cache; # 缓存FastCGI生成的内容，比如PHP生成的动态内容
    
    fastcgi_cache_valid 200 302 1h; # 指定http状态码的缓存时间，这里表示将200和302缓存1小时
    
    fastcgi_cache_valid 301 1d; # 指定http状态码的缓存时间，这里表示将301缓存1天
    
    fastcgi_cache_valid any 1m; # 指定http状态码的缓存时间，这里表示将其他状态码缓存1分钟
    
    fastcgi_cache_min_uses 1; # 设置请求几次之后响应被缓存，1表示一次即被缓存
    
    fastcgi_cache_use_stale error timeout invalid_header http_500; # 定义在哪些情况下使用过期缓存
    
    fastcgi_cache_key http://$host$request_uri; # 定义 fastcgi_cache 的 key
    Log日志优化
    
    1. 关掉不需要的日志。
    location ~ .*\.(js|jpg|JPG|jpeg|JPEG|css|bmp|gif|GIF)$ {
        access_log off;
    }

2. 日志切割：nginx日志默认不做处理，都会存放到access.log,error.log, 导致越积越多。 可写个定时脚本按天存储，每天凌晨00:00执行。

    #!/bin/bash
    YESTERDAY=$(date -d "yesterday" +"%Y-%m-%d")     
    LOGPATH=/usr/local/openresty/nginx/logs/
    PID=${LOGPATH}nginx.pid
    mv ${LOGPATH}access.log ${LOGPATH}access-${YESTERDAY}.log
    mv ${LOGPATH}error.log ${LOGPATH}error-${YESTERDAY}.log
    kill -USR1 `cat ${PID}`

   资源防盗链

大量的盗链会对服务器和带宽造成很大的消耗， 防盗链主要两种方法。

1、根据 HTTP referer 实现防盗链

第一种,匹配后缀

    location ~ .*\.(gif|jpg|jpeg|png|bm|swf|flv|rar|zip|gz|bz2)$ {    # 指定需要使用防盗链的媒体资源
        access_log  off;                                              # 不记录防盗链的日志
        expires  15d;                                                 # 设置缓存时间
        valid_referers  none  blocked  *.test.com  *.abc.com;         # 表示这些地址可以访问上面的媒体资源
        if ($invalid_referer) {                                       # 如果地址不如上面指定的地址就返回403
            return 403
        }
    }

2、 根据 cookie 实现防盗链。cookie 是服务器贴在客户端身上的 "标签" ，服务器用它来识别客户端。

第二种,绑定目录

    location /images {  
        root /web/www/img;
        vaild_referers nono blocked *.spdir.com *.spdir.top;
        if ($invalid_referer) {
            return 403;
        }
    }

限制HTTP的请求方法

HTTP1.1定义了八种主要的方法，其中OPTIONS、DELETE等方法在生产环境可以被认为是不安全的，因此需要配置Nginx实现限制指定某些HTTP请求的方法来达到提升服务器安全的目的。

    if ($request_method !~ ^(GET|HEAD|POST)$ ) {
        return 501;
    }

通过限制上传服务器的Web服务（可以具体到文件）使用GET方法，防止用户通过上传服务器访问存储内容。

    if ($request_method !~ ^(GET)$ ) {
        return 501;
    }

控制客户端请求速率

    # 以请求的客户端IP作为key值，内存区域命名为one，分配10m内存空间，访问速率限制为1秒1次请求
    limit_req_zone $binary_remove_addr zone=one:10m rate=1r/s;
    # 使用前面定义的为one的内存空间，队列值为5，即可以有5个请求排队等候
    limit_req  zone=one burst=5; 

HTTPS配置优化

NGINX配置HTTPS性能优化方案一则：

1) HSTS的合理使用
2) 会话恢复的合理使用
3) Ocsp stapling的合理使用
4) TLS协议的合理配置
5) False Start的合理使用
6) SNI功能的合理使用,
7) HTTP 2.0的合理使用(Nginx在1.9.x版本就开始支持http2协议)
8) SSL硬件加速卡合理使用

以下是一个nginx优化https的配置模板：

    server {
        # 把ssl on;这行去掉，ssl写在443端口后面。这样http和https的链接都可以用
        listen 443 ssl http2 default_server;
        server_name  site.xxx.com;
     
        # HSTS的合理使用，max-age表明HSTS在浏览器中的缓存时间，includeSubdomainscam参数指定应该在所有子域上启用HSTS，preload参数表示预加载，通过Strict-Transport-Security: max-age=0将缓存设置为0可以撤销HSTS
        add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";
     
        ssl_certificate /usr/local/nginx/cert/server.pem; 
        ssl_certificate_key /usr/local/nginx/cert/server.key; 
     
        # 分配10MB的共享内存缓存，不同工作进程共享TLS会话信息
        ssl_session_cache shared:SSL:10m;
        # 设置会话缓存过期时间24h
        ssl_session_timeout 1440m;
     
        # TLS协议的合理配置
        # 指定TLS协议的版本，不安全的SSL2和SSL3要废弃掉
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
        # 启用ssl_prefer_server_ciphers，用来告诉Nginx在TLS握手时启用服务器算法优先，由服务器选择适配算法而不是客户端
        ssl_prefer_server_ciphers on;
        # 优先选择支持前向加密的算法，且按照性能的优先顺序排列
        ssl_ciphers ssl_ciphers "ECDHE-ECDSA-CHACHA20-POLY1305 ECDHE-RSA-CHACHA20-POLY1305 ECDHE-ECDSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-RSA-AES256-GCM-SHA384 DHE-RSA-AES128-GCM-SHA256 DHE-RSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES128-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-ECDSA-AES128-SHA ECDHE-RSA-AES256-SHA384 ECDHE-RSA-AES128-SHA ECDHE-ECDSA-AES256-SHA384 ECDHE-ECDSA-AES256-SHA ECDHE-RSA-AES256-SHA DHE-RSA-AES128-SHA256 DHE-RSA-AES128-SHA DHE-RSA-AES256-SHA256 DHE-RSA-AES256-SHA ECDHE-ECDSA-DES-CBC3-SHA ECDHE-RSA-DES-CBC3-SHA EDH-RSA-DES-CBC3-SHA AES128-GCM-SHA256 AES256-GCM-SHA384 AES128-SHA256 AES256-SHA256 AES128-SHA AES256-SHA DES-CBC3-SHA !DSS";
     
        # 会话恢复的合理使用
        # 配置会话票证，减少了TLS握手的开销
        ssl_session_tickets on;
        # 生产key的命令通过openssl生成：openssl rand –out session_ticket.key 48
        ssl_session_ticket_key /usr/local/nginx/ssl_cert/session_ticket.key;
     
        #设置TLS日志格式
        log_format ssl "$time_local $server_name $remote_addr $connection $connnection_requests $ssl_protocol $ssl_cipher $ssl_session_id $ssl_session_reused";
        access_log /usr/local/nginx/logs/access.log ssl;
     
        # Ocsp stapling的合理使用
        # 启用OCSP stapling,指定更新文件内容，无需从服务商拉取
        ssl_stapling on;
        ssl_stapling_file /usr/local/nginx/oscp/stapling_file.ocsp;
        # 或者不指定更新文件内容，在线获取，valid表示缓存5分钟，resolver_timeout表示网络超时时间
        #resolver 8.8.8.8 8.8.4.4 223.5.5.5 valid=300s;
        #resolver_timeout 5s; 
        # 启用OCSP响应验证，OCSP信息响应适用的证书           
        ssl_stapling_verify on; 
        ssl_trusted_certificate /usr/local/nginx/ssl_cert/trustchain.crt;     
     
        root   html;
        index  index.html index.htm;
     
        location / {
            ...
        }
     
        error_page 403 /403.html;
        location = /403.html {
            root /usr/local/nginx/waf/403/default;
        }
        error_page 500 502 503 504 /502.html;
        location = /502.html {
            root /usr/local/nginx/waf/403/default;
        }
    }
    优化配置及详细注释事例
    
    #运行用户
    user nobody;
    #pid文件
    pid logs/nginx.pid;
    
    #Nginx基于事件的非阻塞多路复用模型（epoll或kquene）
    #一个进程在短时间内可以响应大量请求，工作进程设置与cpu数相同，避免cpu在多个进程间切换增加开销
    #==worker进程数，通常设置<=CPU数量，auto为自动检测，一般设置最大8个即可，再大性能提升较小或不稳定
    worker_processes auto;
    
    #==将每个进程绑定到特定cpu上，避免进程在cpu间切换的开销
    worker_cpu_affinity 00000001 00000010 00000100 00001000 00010000 00100000 01000000 10000000;
    
    #==worker进程打开最大文件数，可CPU*10000设置，或设置系统最大数量655350
    worker_rlimit_nofile 102400;
    #全局错误日志
    error_log  logs/error.log;
    
    
    #events模块中包含nginx中所有处理连接的设置，并发响应能力的关键配置
    events {
        #==每个进程同时打开的最大连接数（最大并发数）
        worker_connections 102400;
        
        #==告诉nginx收到一个新链接通知后接受尽可能多的链接
        #multi_accept on;
        
        #一般http 1.1协议下，浏览器默认使用两个并发链接
        #如果是反向代理，nginx需要和客户端保持连接，还需要和后端服务器保持连接
        #Http服务器时，设置max_client=worker_processes*worker_connections/2
        #反向代理时，设置max_client=worker_processes*worker_connections/4    
        #==最大可用客户端数
        #max_client 
        
        #==使用非阻塞模型，设置复用客户端线程的轮训方法
        use epoll;
    }
    
    
    #http模块控制着nginx http处理的所有核心特性
    http {
        #打开或关闭错误页面中的nginx版本号等信息
        server_tokens on;
        #!server_tag on;
        #!server_info on;
        #==优化磁盘IO设置，指定nginx是否调用sendfile函数来输出文件，普通应用设为on，下载等磁盘IO高的应用，可设为off
        sendfile on;
        
        #缓存发送请求，启用如下两个配置，会在数据包达到一定大小后再发送数据
        #这样会减少网络通信次数，降低阻塞概率，但也会影响响应的及时性
        #比较适合于文件下载这类的大数据包通信场景
        #tcp_nopush on;
        #tcp_nodelay on;
    
        #==设置nginx是否存储访问日志，关闭这个可以让读取磁盘IO操作更快
        access_log on;
        #设置nginx只记录严重错误，可减少IO压力
        #error_log logs/error.log crit;
    
        #Http1.1支持长连接
        #降低每个链接的alive时间可在一定程度上提高响应连接数量
        #==给客户端分配keep-alive链接超时时间
        keepalive_timeout 30;
    
        #设置用户保存各种key的共享内存的参数，5m指的是5兆
        limit_conn_zone $binary_remote_addr zone=addr:5m;
        #为给定的key设置最大的连接数，这里的key是addr，设定的值是100，就是说允许每一个IP地址最多同时打开100个连接
        limit_conn addr 100;
    
        #include指在当前文件中包含另一个文件内容
        include mime.types;
        #设置文件使用默认的mine-type
        default_type text/html;
        #设置默认字符集
        charset UTF-8;
    
        #==设置nginx采用gzip压缩的形式发送数据，减少发送数据量，但会增加请求处理时间及CPU处理时间，需要权衡
        gzip on;
        #==加vary给代理服务器使用，针对有的浏览器支持压缩，有个不支持，根据客户端的HTTP头来判断是否需要压缩
        gzip_vary on;
        #nginx在压缩资源之前，先查找是否有预先gzip处理过的资源
        #!gzip_static on;
        #为指定的客户端禁用gzip功能
        gzip_disable "MSIE[1-6]\.";
        #允许或禁止压缩基于请求和相应的响应流，any代表压缩所有请求
        gzip_proxied any;
        #==启用压缩的最少字节数，如果请求小于1024字节则不压缩，压缩过程会消耗系统资源
        gzip_min_length 1024;
        #==数据压缩等级，1-9之间，9最慢压缩比最大，压缩比越大对系统性能要求越高
        gzip_comp_level 2;
        #需要压缩的数据格式
        gzip_types text/plain text/css text/xml text/javascript  application/json application/x-javascript application/xml application/xml+rss; 
    
        #静态文件缓存
        #==开启缓存的同时也指定了缓存文件的最大数量，20s如果文件没有被请求则删除缓存
        open_file_cache max=100000 inactive=20s;
        #==多长时间检查一次缓存的有效期
        open_file_cache_valid 30s;
        #==有效期内缓存文件最小的访问次数，只有访问超过2次的才会被缓存
        open_file_cache_min_uses 2;
        #当搜索一个文件时是否缓存错误信息
        open_file_cache_errors on;
    
        #==允许客户端请求的最大单文件字节数
        client_max_body_size 4m;
        #==客户端请求头缓冲区大小
        client_header_buffer_size 4k;
    
        #是否启用对发送给客户端的URL进行修改
        proxy_redirect off;
        #后端的Web服务器可以通过X-Forwarded-For获取用户真实IP
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        #==nginx跟后端服务器连接超时时间(代理连接超时)
        proxy_connect_timeout 60;
        #==连接成功后，后端服务器响应时间(代理接收超时)
        proxy_read_timeout 120;
        #==后端服务器数据回传时间(代理发送超时)
        proxy_send_timeout 20;
        #==设置代理服务器（nginx）保存用户头信息的缓冲区大小
        proxy_buffer_size 32k;
        #==proxy_buffers缓冲区，网页平均在32k以下的设置
        proxy_buffers 4 128k;
        #==高负荷下缓冲大小（proxy_buffers*2）
        proxy_busy_buffers_size 256k;
        #==设定缓存文件夹大小，大于这个值，将从upstream服务器传
        proxy_temp_file_write_size 256k;
        #==1G内存缓冲空间，3天不用删除，最大磁盘缓冲空间2G
        proxy_cache_path /home/cache levels=1:2 keys_zone=cache_one:1024m inactive=3d max_size=2g;
    
    
        #设定负载均衡服务器列表
        upstream nginx.test.com{
            #后端服务器访问规则
            #ip_hash;
            #weight参数表示权重值，权值越高被分配到的几率越大
            #server 10.11.12.116:80 weight=5;
            #PC_Local
            server 10.11.12.116:80;
            #PC_Server
            server 10.11.12.112:80;
            #Notebook
            #server 10.11.12.106:80;
        }
    
        #server代表虚拟主机，可以理解为站点（挂载多个站点，只需要配置多个server及upstream节点即可）
        server {
            #监听80端口
            listen 80;
            #识别的域名，定义使用nginx.test.com访问
            server_name nginx.test.com;
            #设定本虚拟主机的访问日志
            access_log logs/nginx.test.com.access.log;
            
            #一个域名下匹配多个URI的访问，使用location进行区分，后面紧跟着的/代表匹配规则
            #如动态资源访问和静态资源访问会分别指向不同的位置的应用场景
            #
            # 基本语法规则：location [=|~|~*|^~] /uri/ {...} 
            # = 开头表示精确匹配
            # ^~ 开头表示uri以某个常规字符串开头，匹配成功后不再进行正则匹配
            # ~ 开头表示区分大小写的正则匹配
            # ~* 开头表示不区分大小写的正则匹配
            # !~ 开头表示区分大小写的不匹配的正则
            # !~* 开头表示不区分大小写的不匹配的正则
            # / 通用匹配，任何请求都会被匹配到
            #
            # 理解如下：
            # 有两种匹配模式：普通字符串匹配，正则匹配
            # 无开头引导字符或以=开头表示普通字符串匹配
            # 以~或~*开头表示正则匹配，~*表示不区分大小写
            # 【多个location时，先匹配普通字符串location，再匹配正则location】
            # 只识别URI部分，例如请求为“/test/1/abc.do?arg=xxx”
            # （1）先查找是否有=开头的精确匹配，即“location=/test/1/abc.do {...}”
            # （2）再查找普通匹配，以“最大前缀”为规则，如有以下两个location
            #    location /test/ {...}
            #    location /test/1/ {...}
            #    则匹配后一项
            # （3）匹配到一个普通location后，搜索并未结束，而是暂存当前结果，并继续进行正则搜索
            # （4）在所有正则location中找到第一个匹配项后，以此匹配项为最终结果
            # 【所以正则匹配项，匹配规则受定义前后顺序影响，但普通匹配不会】
            # （5）如果未找到正则匹配项，则以（3）中缓存的结果为最终结果
            # （6）如果一个匹配都没有，则返回404
            # location =/ {...}与location / {...}的差别
            # 前一个是精确匹配，只响应“/”的请求，所有“/xxx”形式的请求不会以“前缀匹配形式”匹配到它
            # 后一个正相反，所有请求必然都是以“/”开头，所以没有其他匹配结果时一定会执行到它
            # location ^~ / {...} ^~的意思是禁止正则匹配，表示匹配到此项后不再进行后续的正则搜索
            # 相当于普通匹配模式匹配成功后就以此结果为最终结果，停止进行后续的正则匹配
            location / {
                #定义服务器的默认网站根目录位置，可以写相对路径，也可以写绝对路径
                root html;
                #定义首页索引文件的名称
                index index.html index.htm;
                #定义转发后端负载服务器组
                proxy_pass http://nginx.test.com;
            }
    
            #定义错误提示页面
            error_page 500 502 503 504 /50x.html;
            location = /50x.html {
                root html;
            }
            #静态文件，nginx自己处理
            location ~ ^/(images|javascript|js|css|flash|media|static)/{
                root /var/www/virtual/htdocs;
                #过期时间1天
                expires 1d;
                #关闭媒体文件日志
                access_log off;
                log_not_found off;
            }
            #设定查看Nginx状态的地址
            location /NginxStatus {
                #!stub_status on; #无此关键字
                access_log off;
                auth_basic "NginxStatus";
                auth_basic_user_file conf/htpasswd;
            }
            #禁止访问的文件.htxxx
            location ~ /\.ht {
                #deny all;禁止访问，返回403
                deny all;
                #allow all;允许访问
            }
        }
        #网站较多的情况下ngxin又不会请求瓶颈可以考虑挂多个站点，并把虚拟主机配置单独放在一个文件内，引入进来
        #include website.conf;
    }

Nginx的几个常用配置和技巧

文章列举了几个Nginx常见的，实用的，有趣的配置，希望看过之后能说一句：学到了！
一个站点配置多个域名

    server {
        listen       80;
        server_name  site.cn b.site.cn;
    }

server_name 后跟多个域名即可，多个域名之间用空格分隔

一个服务配置多个站点

    server {
        listen       80;
        server_name  a.site.cn;
    
        location / {
            root /home/project/pa;
            index index.html;
        }
    }
    
    server {
        listen       80;
        server_name  site.cn b.site.cn;
    
        location / {
            root /home/project/pb;
            index index.html;
        }
    }
    
    server {
        listen       80;
        server_name  c.site.cn;
    
        location / {
            root /home/project/pc;
            index index.html;
        }
    }

基于Nginx虚拟主机配置实现，Nginx有三种类型的虚拟主机

基于IP的虚拟主机： 需要你的服务器上有多个地址，每个站点对应不同的地址，这种方式使用的比较少

基于端口的虚拟主机： 每个站点对应不同的端口，访问的时候使用ip:port的方式访问，可以修改listen的端口来使用

基于域名的虚拟主机： 使用最广的方式，上边例子中就是用了基于域名的虚拟主机，前提条件是你有多个域名分别对应每个站点，server_name填写不同的域名即可

nginx添加账号密码验证

    server {
        location / {
            auth_basic "please input user&passwd";
            auth_basic_user_file key/auth.key;
        }
    }

有很多服务通过nginx访问，但本身没有提供账号认证的功能，就可以通过nginx提供的authbase账号密码认证来实现，可以用以下脚本来生成账号的密码

    # cat pwd.pl 
    #!/usr/bin/perl
    use strict;
    my $pw=$ARGV[0] ;
    print crypt($pw,$pw)."\n";

使用方法：

    # perl pwd.pl site.cn
    opf8BImqCAXww
    # echo "admin:opf8BImqCAXww" > key/auth.key

nginx开启列目录

当你想让nginx作为文件下载服务器存在时，需要开启nginx列目录

    server {
        location download {
            autoindex on;
    
            autoindex_exact_size off;
            autoindex_localtime on;
        }
    }

autoindex_exact_size： 为on(默认)时显示文件的确切大小，单位是byte；改为off显示文件大概大小，单位KB或MB或GB

autoindex_localtime： 为off(默认)时显示的文件时间为GMT时间；改为on后，显示的文件时间为服务器时间

默认当访问列出的txt等文件时会在浏览器上显示文件的内容，如果你想让浏览器直接下载，加上下边的配置

    if ($request_filename ~* ^.*?\.(txt|pdf|jpg|png)$) {
        add_header Content-Disposition 'attachment';
    }

配置默认站点

    server {
        listen 80 default;
    }

当一个nginx服务上创建了多个虚拟主机时默认会从上到下查找，如果匹配不到虚拟主机则会返回第一个虚拟主机的内容，如果你想指定一个默认站点时，可以将这个站点的虚拟主机放在配置文件中第一个虚拟主机的位置，或者在这个站点的虚拟主机上配置listen default

不允许通过IP访问

    server {
        listen       80 default;
        server_name  _;
    
        return      404;
    }

可能有一些未备案的域名或者你不希望的域名将服务器地址指向了你的服务器，这时候就会对你的站点造成一定的影响，需要禁止IP或未配置的域名访问，我们利用上边所说的default规则，将默认流量都转到404去

上边这个方法比较粗暴，当然你也可以配置下所有未配置的地址访问时直接301重定向到你的网站去，也能为你的网站带来一定的流量

    server {
        rewrite ^/(.*)$ https://site.cn/$1    permanent;
    }

直接返回验证文件

    location = /XDFyle6tNA.txt {
        default_type text/plain;
        return 200 'd6296a84657eb275c05c31b10924f6ea';
    }

很多时候微信等程序都需要我们放一个txt的文件到项目里以验证项目归属，我们可以直接通过上边这种方式修改nginx即可，无需真正的把文件给放到服务器上

nginx配置upstream反向代理

    http {
        ...
        upstream tomcats {
            server 192.168.1.176 weight=1;
            server 192.168.1.177 weight=1;
        }
    
        server {
            location /site/ { 
                proxy_pass http://tomcats; 
    
                proxy_set_header Host $host;
                proxy_set_header X-Real-IP $remote_addr;
                proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
                proxy_set_header X-Forwarded-Proto $scheme;
            }
        }
    
    }

稍不注意可能会落入一个proxy_pass加杠不加杠的陷阱，这里详细说下proxy_pass http://tomcats与proxy_pass http://tomcats/的区别：

虽然只是一个/的区别但结果确千差万别。分为以下两种情况：

1. 目标地址中不带uri（proxy_pass http://tomcats）。此时新的目标url中，匹配的uri部分不做修改，原来是什么就是什么。

   location /site/ {
       proxy_pass  http://192.168.1.135:8181;
   }
   
   http://domain/site/   -->     http://192.168.1.135:8181/site/
   http://domain/site/action/abc   -->     http://192.168.1.135:8181/site/action/abc

2. 目标地址中带uri（proxy_pass http://tomcats/，/也是uri）,此时新的目标url中，匹配的uri部分将会被修改为该参数中的uri。

   location /site/ {
       proxy_pass  http://192.168.1.135:8181/;
   }
   
   http://domain/site/   -->     http://192.168.1.135:8181
   http://domain/site/action/abc   -->     http://192.168.1.135:8181/action/abc

   nginx upstream开启keepalive

   upstream tomcat {
       server site.cn:8080;
       keepalive 1024;
   }
   
   server {
       location / {
           proxy_http_version 1.1;
           proxy_set_header Connection "";
   
           proxy_pass http://tomcat;
       }
   }

   nginx在项目中大多数情况下会作为反向代理使用，例如nginx后接tomcat，nginx后接php等，这时我们开启nginx和后端服务之间的keepalive能够减少频繁创建TCP连接造成的资源消耗，配置如上

keepalive： 指定每个nginxworker可以保持的最大连接数量为1024，默认不设置，即nginx作为client时keepalive未生效

proxy_http_version 1.1： 开启keepalive要求HTTP协议版本为HTTP 1.1

proxy_set_header Connection ""： 为了兼容老的协议以及防止http头中有Connection close导致的keepalive失效，这里需要及时清掉HTTP头部的Connection

404自动跳转到首页

    server {
        location / {
           error_page 404 =  @site;
        }
    
        location @site {
           rewrite  .*  / permanent;
        }
    }

网站出现404页面不是特别友好，我们可以通过上边的配置在出现404之后给自动跳转到首页去

注册一些网站，但又不想用自己的手机号注册的可以拿来使用！

国内免费临时手机号：

https://www.pdflibr.com
https://www.becmd.com
http://www.smszk.com

国外免费临时手机号：

https://zh.mytrashmobile.com
https://ch.freephonenum.com
https://smsreceivefree.com
https://www.receive-sms-online.info
https://receive-a-sms.com
https://smsnumbersonline.com
https://sms-online.co/receive-free-sms
https://receive-sms.com
http://receivefreesms.com
https://www.receivesmsonline.net
https://www.freeonlinephone.org
http://receive-sms-online.com
https://www.textnow.com
https://www.pinger.com/text-free
http://sms.sellaite.com
https://www.twilio.com
https://receive-sms.com
http://hs3x.com
http://receivefreesms.net
http://receivesmsonline.in
http://www.receive-sms-now.com
https://sms-receive.net
https://www.receivesms.net
http://www.freesmsverifications.com
http://receiveonlinesms.biz
http://receivesmsverification.com
https://www.receivesms.co
http://receiveonlinesms.com

typecho常用的functions

- 阅读剩余部分 -

默认情况Typecho文章中如果有添加链接，那么是从当前窗口跳转的，并且外链没有添加nofollow标签，不利于SEO，Typecho文章内链接新窗口并添加nofollow标签如下。

- 阅读剩余部分 -