Почему я получаю бесконечный цикл перенаправления с force_ssl в моем приложении Rails?

Я хочу, чтобы мой контроллер API использовал SSL, поэтому я добавил еще одну директиву для прослушивания моего nginx.conf

upstream unicorn {
  server unix:/tmp/unicorn.foo.sock fail_timeout=0;
}

server {
  listen 80 default deferred;
  listen 443 ssl default;
  ssl_certificate /etc/ssl/certs/foo.crt;
  ssl_certificate_key /etc/ssl/private/foo.key;

  server_name foo;
  root /var/apps/foo/current/public;

  try_files $uri/system/maintenance.html $uri/index.html $uri @unicorn;

  location @unicorn {
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_set_header Host $http_host;
    proxy_redirect off;
    proxy_pass http://unicorn;
  }

  error_page 502 503 /maintenance.html;
  error_page 500 504 /500.html;
  keepalive_timeout 5;
}

который без каких-либо проблем передает nginx conftest. Я также добавил директиву force_ssl к моему ApiController

class ApiController < ApplicationController
  force_ssl if Rails.env.production?

  def auth
    user = User.authenticate(params[:username], params[:password])
    respond_to do |format|
      format.json do
        if user
          user.generate_api_key! unless user.api_key.present?
          render json: { key: user.api_key }
        else
          render json: { error: 401 }, status: 401
        end
      end
    end
  end

  def check
    user = User.find_by_api_key(params[:api_key])
    respond_to do |format|
      format.json do
        if user
          render json: { status: 'ok' }
        else
          render json: { status: 'failure' }, status: 401
        end
      end
    end
  end
end

который работал отлично, когда я не пользовался SSL, но теперь, когда я пытаюсь выполнить curl --LI http://foo/api/auth.json, я правильно перенаправляюсь на https, но затем продолжаю перенаправляться на http://foo/api/auth, заканчивая бесконечным перенаправлением цикл.

Мои маршруты просто имеют

get "api/auth"
get "api/check"

Я использую Rails 3.2.1 на Ruby 1.9.2 с nginx 0.7.65

Ответы

Ответ 1

Вы не пересылаете какую-либо информацию о том, был ли этот запрос завершен HTTPS-запросом или нет. Обычно на сервере "ssl on;" директива будет устанавливать эти заголовки, но вы используете комбинированный блок.

Rack (и force_ssl) определяет SSL посредством:

  • Если запрос поступит на порт 443 (это, скорее всего, не будет возвращено Unicorn из nginx)
  • Если ENV ['HTTPS'] == "on"
  • Если заголовок X-Forwarded-Proto == "HTTPS"

Подробнее см. источник force_ssl.

Поскольку вы используете комбинированный блок, вы хотите использовать третью форму. Попробуйте:

proxy_set_header X-Forwarded-Proto $scheme;

в вашем сервере или блоке местоположения за документацию nginx.

Это приведет к тому, что заголовок будет "http", когда вы войдете в запрос на порт 80, и установите его "https", когда вы войдете в запрос 443.

Ответ 2

Попробуйте установить эту директиву в своем блоке nginx location @unicorn:

proxy_set_header X-Forwarded-Proto https;

У меня была эта же проблема и расследование обработчика промежуточного ПО Rack (не force_ssl, но похожего). Я мог видеть, что он ожидал, что этот заголовок будет установлен, чтобы определить, был ли запрос уже обработан как SSL с помощью nginx.