指令参考

set_decrypt_session

set_decrypt_session 指令用于在 NGINX 中解密会话变量,从加密数据中访问原始变量值。

Encrypt and decrypt NGINX variable values · httpserverlocationif in serverif in location
语法set_decrypt_session variable_name encrypted_variable_name;
默认值none
上下文http, server, location, if in server, if in location
参数1-2

说明

set_decrypt_session 指令便于解密先前在 NGINX 中加密的会话数据。该指令属于 encrypt and decrypt NGINX variable values module,依赖 AES-256 加密来保护数据。调用时,它接受一个或两个参数:第一个参数是将保存解密值的新变量,第二个参数是要解密的加密会话变量。该指令的行为包含必要的检查,以确保解密过程不会暴露漏洞或导致会话处理不当,使其对需要处理用户数据的安全 Web 应用至关重要。

配置该指令时,必须使用相关指令(例如 encrypted_session_key 和 encrypted_session_iv)设置适当的加密密钥和初始化向量。未正确设置这些相关指令可能导致解密错误或安全问题。它通常与其他模块配合使用,例如 ngx_set_misc,以操作和控制加密数据在 NGINX 中的使用,从而增强 Web 应用中会话管理的能力。

配置示例

location /decrypt {
    set $encrypted_data $cookie_my_login;
    set_decrypt_session $raw_data $encrypted_data;

    if ($raw_data = '') {
        return 401; # unauthorized
    }
    # Process the request with the raw data...
}

确保加密密钥和 IV 已正确配置;不匹配会导致解密失败。

该指令默认不会优雅地处理错误;请为解密返回的空结果或无效结果实现自定义错误处理。

相关指令

set_encrypt_sessionencrypted_session_keyencrypted_session_ivencrypted_session_expires
← 返回所有指令