背景：非对象存储的静态资源图片没有做权限限制，任何人拿到URL都可以访问，我们的静态资源都是由Nginx直接做的映射，所以需要做token验证，在有效期内验证通过才可以访问。

首先明确一个概念，OpenResty 是 Nginx 和 Lua 的结合体，而非 Nginx 的扩展。普通的nginx无法编写lua脚本，但OpenResty可以做到。如果之前机器上安装过了 Nginx，建议是先卸载掉再安装OpenResty。

步骤1：创建verify_token.lua脚本：

-- 获取请求头
local headers = ngx.req.get_headers()
-- 获得请求头中的 token 参数
local token = headers["token"]
if token then
    -- 这里连接了本地redis，如果有密码，需要加上 -a 参数
    local cmd = "redis-cli -h 127.0.0.1 -p 6379 -n 0 get "..token
    local f = io.popen(cmd)
    res = tostring(f:read())
    f:close()
    -- 这里判断 redis 中是否存在 token
    if res ~= " " then
        -- 在这里可以加一些复杂逻辑
        return "URL A"
    else
        return "URL B"
    end
else
    return "URL C"
end

步骤2：在 nginx.conf 文件中加入配置：

server {
        listen       8005;
        server_name  localhost;

        location / {
            resolver 8.8.8.8;
            set_by_lua_file $full_proxy_pass 绝对路径/verify_token.lua;

            proxy_set_header Host $proxy_host;
            proxy_pass  $full_proxy_pass;
        }
    }

注意这里有两个关键配置，如果不加上，跳转的时候就会报404错误

关键配置1：

proxy_set_header Host $proxy_host;

proxy_set_header 允许重新定义或者添加发往后端服务器的请求头。

value可以包含文本、变量或者它们的组合。

当且仅当当前配置级别中没有定义proxy_set_header指令时，会从上面的级别继承配置。 默认情况下，只有两个请求头会被重新定义：

proxy_set_header Host       $proxy_host;
proxy_set_header Connection close;

所以上述 nginx.conf 如果不重新定义 proxy_set_header Host 的话，那么默认 Host 值就还是当前访问路径的 Host 信息。

关键配置2：

resolver 8.8.8.8;

反向代理的场景下，upstream后端用域名时，配置resolver以便于nginx能够解析该域名。

平时我们在配置NG upstream 时，一般都是指定 IP 地址或者是地址池，或者是一个固定的域名。

但一些复杂的场景，比如我们的 upstream 是变量的 servername，这时候需要用到resolver 的指令用来对变量做解析了。