[nginx反向代理https内部定向到http报302的问题及解决]

在搭建和运行Web服务时，尤其是使用nginx作为反向代理时，我们可能会遇到一些棘手的问题。其中，nginx反向代理https内部定向到http报302的问题尤为常见，也尤为让人头疼。本文将深入探讨这一问题的原因，并提供有效的解决方案。

一、问题背景

随着网络安全要求的提高，越来越多的系统需要支持https协议。然而，在实际部署中，我们可能会发现，尽管SSL证书已经配置在负载均衡器（LB）上，nginx和tomcat服务器之间的通讯仍然采用http协议。这种配置在大多数情况下是可行的，但一旦涉及到重定向（redirect）操作，问题就可能暴露出来。特别是当Tomcat服务器在处理重定向时，仍然使用http协议，而不是客户端请求的https协议，这就可能导致302重定向错误。

二、问题原因

问题的根源在于Tomcat服务器在解析请求和做重定向时，没有正确地识别出客户端请求的协议（https或http）。由于nginx和Tomcat之间的通讯是http，Tomcat无法从请求中直接获取到客户端使用的协议信息。因此，当Tomcat需要执行重定向操作时，它默认使用http协议，而不是客户端请求的https协议。

三、解决方案

为了解决这个问题，我们需要在nginx和Tomcat之间传递正确的协议信息。具体步骤如下：

1. 修改nginx配置：

   在nginx的配置文件中，我们需要添加一些头信息（header），以便将客户端请求的协议信息传递给Tomcat。配置示例如下：

   location /CSS {
      proxy_pass http://css_svr;
      proxy_set_header Host $host;
      proxy_set_header Remote_Addr $remote_addr;
      proxy_set_header X-Real-IP $remote_addr;
      proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
      set $mscheme $scheme;
      if ($http_referer ~* ^https.*) {
          set $mscheme "https";
      }
      proxy_set_header X-Forwarded-Proto $mscheme;
   }

   这里，我们使用了X-Forwarded-Proto头信息来传递协议信息。如果客户端请求是https，那么X-Forwarded-Proto的值就会被设置为https。

2. 修改Tomcat配置：

   在Tomcat的server.xml文件中，我们需要配置RemoteIpValve，以便Tomcat能够识别X-Forwarded-Proto头信息，并根据其值来决定使用何种协议进行重定向。配置示例如下：

   <Valve className="org.apache.catalina.valves.RemoteIpValve"
         remoteIpHeader="X-Forwarded-For"
         protocolHeader="X-Forwarded-Proto"
         protocolHeaderHttpsValue="https"/>

   这样，当Tomcat接收到nginx转发的请求时，它就会根据X-Forwarded-Proto头信息的值来决定使用https还是http进行重定向。

通过上述步骤，我们就可以解决nginx反向代理https内部定向到http报302的问题。这一解决方案不仅提高了系统的安全性，还确保了客户端在重定向时能够正确地使用https协议，从而避免了潜在的安全风险。