Ce module permet d'ajouter au serveur des extensions sous forme de
scripts écrits dans le langage de programmation Lua.
Vous trouverez davantage d'informations à propos du langage de programmation Lua sur le site web de Lua.
mod_lua
est encore au stade expérimental. Son mode
d'utilisation et son comportement pourront changer à tout moment jusqu'à
ce qu'il passe au stade stable, et ce même entre deux versions stables
2.4.x. N'oublez pas de consulter le fichier CHANGES avant toute mise à
jour.Ce module possède une grande capacité d'action sur le fonctrionnement de httpd, ce qui lui confère une grande puissance, mais peut aussi induire un risque de sécurité. Il est déconseillé d'utiliser ce module sur un serveur partagé avec des utilisateurs auxquels vous ne pouvez pas accorder une confiance absolue, car il peut permettre de modifier le fonctionnement interne de httpd.
La directive de base pour le chargement du module est
mod_lua
fournit un gestionnaire nommé
lua-script
qui peut être utilisé avec une directive
Ceci aura pour effet de faire traiter les requêtes pour les fichiers
dont l'extension est .lua
par mod_lua
en
invoquant cette fonction de gestion
de fichier.
Pour plus de détails, voir la directive
Dans l'API du serveur HTTP Apache, un gestionnaire est une sorte de
point d'accroche (hook) spécifique responsable de la génération de la
réponse.
mod_lua
cherche toujours à invoquer une fonction Lua pour le
gestionnaire, plutôt que de simplement évaluer le corps d'un script dans
le style de CGI. Une fonction de gestionnaire se présente comme suit :
Ce gestionnaire se contente d'afficher les arguments codés d'un uri ou d'un formulaire dans un page au format texte.
Cela signifie que vous pouvez (et êtes encouragé à) avoir plusieurs gestionnaires (ou points d'entrée, ou filtres) dans le même script.
En général, le fournisseur authz est appelé avant l'authentification.
S'il doit connaître le nom d'utilisateur authentifié (ou si
l'utilisateur est appelé à être authentifié), le fournisseur doit
renvoyer apache2.AUTHZ_DENIED_NO_USER
, ce qui va
déclancher le processus d'authentification et un deuxième appel du
fournisseur authz.
La fonction du fournisseur authz ci-dessous accepte deux arguments, une adresse IP et un nom d'utilisateur. Elle autorise l'accès dans le cas où la requête provient de l'adresse IP spécifiée, ou si l'utilisateur authentifié correspond au second argument :
La configuration suivante enregistre cette fonction en tant que
fournisseur foo
, et la configure por l'URL /
:
Les fonctions d'accroche déterminent la manière dont les modules (et les scripts Lua) participent au traitement des requêtes. Chaque type d'accroche proposé par le serveur a un rôle spécifique, comme l'association de requêtes au système de fichiers, le contrôle d'accès, ou la définition de types MIME :
Phase d'accroche | Directive mod_lua | Description |
---|---|---|
Gestionnaire rapide | Il s'agit de la première accroche appelée lorsqu'une requête a été associée à un serveur ou un serveur virtuel. | |
Phase de traduction | Cette phase traduit l'URI de la requête en nom de fichier
sur le système. Ce sont des modules comme
|
|
Choix du lieu de stockage de la ressource | Cette phase définit le lieu de stockage de la ressource : physique, en cache ou externe/mandaté. Elle est assurée par les modules de mandat ou de mise en cache. | |
Autorisation d'accès | Cette phase vérifie si un client a l'autorisation d'accès à la ressource. Elle s'exécute avant l'authentification de l'utisateur ; il faut donc être prudent. | |
Vérification de l'identifiant utilisateur | Cette phase vérifie l'identifiant de l'utilisateur ayant fait l'objet d'une négociation. | |
Vérification de l'autorisation d'accès | Cette phase vérifie l'autorisation d'accès d'un utilisateur en fonction des ses paramètres de connexion, comme l'identifiant, le certificat, etc... | |
Vérification du type de la ressource | Cette phase assigne un type de contenu et un gestionnaire à la ressource. | |
Derniers réglages | C'est la dernière phase avant l'activation des gestionnaires de contenu. Toute modification de dernière minute à la requête doit être effectuée ici. | |
Gestionnaire de contenu | fichiers fx. .lua ou directive |
C'est durant cette phase que le contenu est traité. Les fichiers sont lus, interprétés, certains sont exécutés, et le résultat obtenu est envoyé au client. |
Journalisation | Lorsqu'une requête a été traitée, plusieurs phases de journalisation interviennent, et enregistrent leurs résultats dans les fichiers d'erreur ou d'accès. Mod_lua peut s'intercaler au départ de ce processus et ainsi contrôler la journalisation. |
Les fonctions d'accroche reçoivent l'objet de la requête comme seul
argument (sauf LuaAuthzProvider qui reçoit aussi des arguments en
provenance de la directive Require). Elles peuvent renvoyer une valeur,
selon la fonction, mais il s'agit en général d'un
code d'état HTTP ou des valeurs OK, DONE, ou DECLINED,
que vous pouvez écrire dans Lua sous la forme apache2.OK
,
apache2.DONE
, ou apache2.DECLINED
.
request_rec est considérée en tant que donnée utilisateur. Elle possède une métatable qui vous permet d'accomplir des choses intéressantes. Pour la plus grande partie, elle possède les mêmes champs que la structure request_rec, la plupart d'entre eux étant accessibles en lecture et écriture (le contenu des champs de la table peut être modifié, mais les champs eux-mêmes ne peuvent pas être établis en tant que tables distinctes).
Nom | Type Lua | Modifiable | Description |
---|---|---|---|
allowoverrides |
string | non | L'option AllowOverride s'applique à la requête courante. |
ap_auth_type |
string | non | Ce champ contient le type d'authentification effectuée
(par exemple basic ) |
args |
string | oui | La chaîne de paramètres de la requête (par exemple
foo=bar&name=johnsmith ) |
assbackwards |
boolean | non | contient true s'il s'agit d'une requête de style HTTP/0.9
(par exemple GET /foo (sans champs d'en-tête) ) |
auth_name |
string | non | La chaîne d'identification utilisée pour la vérification de l'autorisation d'accès (si elle est disponible). |
banner |
string | non | La bannière du serveur, par exemple Apache HTTP
Server/2.4.3 openssl/0.9.8c |
basic_auth_pw |
string | non | Le mot de passe pour l'authentification de base envoyé avec la requête, s'il existe |
canonical_filename |
string | non | Le nom de fichier canonique de la requête |
content_encoding |
string | non | Le type de codage du contenu de la requête courante |
content_type |
string | oui | Le type de contenu de la requête courante, tel qu'il a été
déterminé au cours de la phase type_check (par exemple
image/gif ou text/html ) |
context_prefix |
string | non | |
context_document_root |
string | non | |
document_root |
string | non | La racine des documents du serveur |
err_headers_out |
table | non | L'en-tête MIME de l'environnement pour la réponse, écrit même en cas d'erreur et conservé pendant les redirections internes |
filename |
string | oui | Le nom de fichier correspondant à la requête, par exemple /www/example.com/foo.txt. Il peut être modifié au cours des phases translate-name ou map-to-storage du traitement de la requête pour permettre au gestionnaire par défaut (ou aux gestionnaires de script) de servir une version du fichier autre que celle demandée. |
handler |
string | oui | Le nom du gestionnaire qui
doit traiter la requête, par exemple lua-script
si elle doit être traitée par mod_lua. Cette valeur est en
général définie via les directives |
headers_in |
table | oui | Les en-têtes MIME de l'environnement de la requête. Il
s'agit des en-têtes comme Host, User-Agent,
Referer , etc... |
headers_out |
table | oui | Les en-têtes MIME de l'environnement de la réponse. |
hostname |
string | non | Le nom d'hôte, tel que défini par l'en-tête
Host: ou par un URI complet. |
is_https |
boolean | non | Indique si la requête à été faite via HTTPS |
is_initial_req |
boolean | non | Indique si la requête courante est la requête initiale ou une sous-requête. |
limit_req_body |
number | non | La taille maximale du corps de la requête, ou 0 si aucune limite. |
log_id |
string | non | L'identifiant de la requête dans les journaux d'accès ou d'erreur. |
method |
string | non | La méthode de la requête, par exemple GET ou
POST . |
notes |
table | oui | Une liste de notes qui peuvent être transmises d'un module à l'autre. |
options |
string | non | La valeur de la directive Options pour la requête courante. |
path_info |
string | non | La valeur de PATH_INFO extraite de la requête. |
port |
number | non | Le port du serveur utilisé par la requête. |
protocol |
string | non | Le protocole utilisé, par exemple HTTP/1.1 |
proxyreq |
string | oui | Indique s'il s'agit d'une requête mandatée ou non. Cette valeur est en général définie au cours de la phase post_read_request/translate_name du traitement de la requête. |
range |
string | non | Le contenu de l'en-tête Range: . |
remaining |
number | non | Le nombre d'octets du corps de la requête restant à lire. |
server_built |
string | non | La date de compilation du serveur. |
server_name |
string | non | Le nom du serveur pour cette requête. |
some_auth_required |
boolean | non | Indique si une autorisation est/était requise pour cette requête. |
subprocess_env |
table | oui | Le jeu de variables d'environnement pour cette requête. |
started |
number | non | Le moment où le serveur a été (re)démarré, en secondes depuis epoch (1er janvier 1970) |
status |
number | oui | Le code de retour (courant) pour cette requête, par
exemple 200 ou 404 . |
the_request |
string | non | La chaîne de la requête telle qu'elle a été envoyée par le
client, par exemple GET /foo/bar HTTP/1.1 . |
unparsed_uri |
string | non | La partie URI non interprétée de la requête |
uri |
string | oui | L'URI après interprétation par httpd |
user |
string | oui | Si une authentification a été effectuée, nom de l'utilisateur authentifié. |
useragent_ip |
string | non | L'adresse IP de l'agent qui a envoyé la requête |
L'objet request_rec possède (au minimum) les méthodes suivantes :
a
.
local process = r:scoreboard_process(1)
r:puts("Le serveur 1 a comme PID " .. process.pid)
b
, dans le processus a
.
local thread = r:scoreboard_worker(1, 1)
r:puts("L'ID du thread 1 du serveur 1 est " .. thread.tid .. " et son
état est " .. thread.status)
Le paquet nommé apache2
est fourni avec (au minimum) le
contenu suivant :
Les autres codes d'état HTTP ne sont pas encore implémentés.
Les fonctions de filtrage implémentées via les directives
Mod_lua implémente une fonctionnalité basique de connexion aux bases de données permettant d'envoyer des requêtes ou d'exécuter des commandes auprès des moteurs de base de données les plus courants (mySQL, PostgreSQL, FreeTDS, ODBC, SQLite, Oracle), ainsi que mod_dbd.
L'exemple suivant montre comment se connecter à une base de données et extraire des informations d'une table :
Pour utiliser mod_dbd
comme type de base de données, ou laissez le champ
vide :
L'objet database renvoyé par dbacquire
possède
les méthodes suivantes :
Sélection normale et requête vers une base de données :
Utilisation de requêtes préparées (recommandé) :
Echappement de valeurs, fermeture de la base données, etc...
Les jeux d'enregistrements renvoyés par db:select
ou par des
requêtes préparées créées par db:prepare
permettent de
sélectionner des enregistrements en mode synchrone ou
asynchrone, selon le nombre d'enregistrements spécifié :
result(0)
sélectionne tous les enregistrements en mode
synchrone en renvoyant une table d'enregistrements.
result(-1)
sélectionne le prochain enregistrement disponible en
mode asynchrone.
result(N)
sélectionne l'enregistrement numéro
N
en mode asynchrone.
Il est possible de construire une fonction qui renvoie une fonction itérative permettant de traiter tous les enregistrement en mode synchrone ou asynchrone selon la valeur de l'argument async :
Lorsqu'elles ne sont plus utilisées, les connexions aux bases de
données doivent être fermées avec database:close()
. Si vous
ne les fermez pas manuellement, mod_lua les fermera peut-être en tant
que résidus collectés, mais si ce n'est pas le cas, vous pouvez finir
pas avoir trop de connexions vers la base de données inutilisées. Les
deux mesures suivantes sont pratiquement identiques :
Bien que les fonctions query
et run
soient toujours disponibles, il est recommandé d'utiliser des requêtes
préparées chaque fois que possible, afin d'une part d'optimiser les
performances (si votre connexion reste longtemps en vie), et d'autre part
minimiser le risque d'attaques par injection SQL. Les fonctions
run
et query
ne doivent être utilisées que
lorsque la requête ne contient pas de variables (requête statique). Dans
le cas des requêtes dynamiques, utilisez db:prepare
ou
db:prepared
.
Cette directive permet de spécifier le chemin de base qui sera utilisé pour évaluer tous les chemins relatifs dans mod_lua. En l'absence de cette directive, les chemins relatifs sont résolus par rapport au répertoire de travail courant, ce qui ne sera pas toujours approprié pour un serveur.
Cette directive permet de spécifier la durée de vie de l'interpréteur Lua qui sera utilisé dans ce "répertoire". La valeur par défaut est "once".
min
et max
permettent
de spécifier les nombres minimaux et maximaux d'états lua à stocker
dans la liste.En général, les portées thread
et server
sont 2 à 3 fois plus rapides que les autres, car elles n'ont pas besoin
de régénérer de nouveaux états Lua à chaque requête (comme c'est le
cas avec le MPM event, où même les connexions persistantes utilisent un
nouveau thread pour chaque requête). Si vous pensez que vos scripts
n'auront pas de problème s'il réutilisent un état, alors les portées
thread
ou server
doivent être utilisées car
elles présenteront de meilleures performances. Alors que la portée
thread
fournira les réponses les plus rapides, la portée
server
utilisera moins de mémoire car les états sont
rassemblés dans des jeux, permettant par exemple à 1000 threads de
partager 100 états Lua, ne nécessitant ainsi que 10% de la mémoire
requise par la portée thread
.
Cette directive permet de faire correspondre un modèle d'uri avec une fonction de gestionnaire située dans un fichier spécifique. Elle utilise les expressions rationnelles PCRE pour mettre en correspondance l'uri, et supporte les groupes de correspondance d'interpolation dans le chemin du fichier et le nom de la fonction. Prenez garde aux problèmes de sécurité en écrivant vos expressions rationnelles.
Cette directive va faire correspondre des uri comme /photos/show?id=9 au fichier /scripts/photos.lua, et invoquera la fonction de gestionnaire handle_show au niveau de la vm lua après chargement de ce fichier.
Cette directive invoquera la fonction "handle" qui est la valeur par défaut si aucun nom de fonction spécifique n'est spécifié.
Cette directive permet d'ajouter un chemin à la liste des chemins de recherche du module lua. Elle suit les mêmes conventions que lua. Ceci modifie le package.path dans les vms lua.
Cette directive permet d'ajouter un chemin à la liste des chemins de recherche des bibliothèques partagées de lua. Ceci modifie le package.cpath dans les vms lua.
Cette directive permet de définir le comportement du cache de code en mémoire. La valeur par défaut est stat ; dans ce cas, le script du niveau le plus haut (et pas les scripts inclus) est vérifié à chaque fois que ce fichier est nécessaire, et est rechargé si la date de modification est plus récente que celle du script déjà chargé. Les autres valeurs permettent respectivement de garder le fichier en cache perpétuellement (forever - jamais vérifié ni remplacé), ou de ne jamais le mettre en cache (never).
En général, les valeurs stat et forever sont utilisées pour un serveur en production, et les valeurs stat ou never pour un serveur en développement.
Cette directive permet d'ajouter un point d'entrée (à APR_HOOK_MIDDLE) à la phase du nom de traduction du traitement de la requête. La fonction hook accepte un seul argument, le request_rec, et doit renvoyer un code d'état qui est soit un code d'erreur HTTP, ou une constante définie dans le module apache2 : apache2.OK, apache2.DECLINED, ou apache2.DONE.
Pour ceux qui ne sont pas familiers avec les points d'entrée (hook), en gros, chaque hook sera invoqué jusqu'à ce que l'un d'entre eux renvoie apache2.OK. Si un hook n'effectuer pas la traduction, il doit juste renvoyer apache2.DECLINED. Si le traitement de la requête doit être interrompu, la valeur renvoyée doit être apache2.DONE.
Exemple :
Cette directive ne peut être
utilisée ni à l'intérieur d'une section
Les arguments optionnels "early" ou "late" permettent de contrôler le moment auquel ce script s'exécute par rapport aux autres modules.
Idem LuaHookTranslateName, mais s'exécute durant la phase de correction.
Ce dispositif d'insertion simple permet d'exécuter une fonction
lorsque httpd entre dans la phase de journalisation du traitement
d'une requête. Vous pouvez ainsi ajouter des données à vos propres
entrées de journalisation, manipuler les entrées du journal standard
avant leur enregistrement ou empêcher l'enregistrement d'une entrée
dans le journal. Pour empêcher l'enregistrement normal des entrées
du journal, renvoyez simplement apache2.DONE
dans votre
gestionnaire de journalisation, ou au contraire, renvoyez
apache2.OK
pour que httpd effectue une journalisation
normale.
Exemple :
Identique à la directive
Cette directive fournit un point d'entrée pour la phase type_checker du traitement de la requête. Cette phase correspond au moment où la requête se voit assigner un type et un gestionnaire de contenu, et peut donc être utilisée pour modifier le type et le gestionnaire en fonction de l'entrée :
Invoque une fonction lua au cours de la phase auth_checker du traitement de la requête. Cette directive peut s'utiliser pour implémenter une vérification arbitraire de l'authentification et de l'autorisation. Voici un exemple très simple :
Les arguments optionnels "early" ou "late" permettent de contrôler le moment auquel ce script s'exécute par rapport aux autres modules.
Ajoute votre fonction d'accroche à la phase access_checker. Une fonction d'accroche access checker renvoie en général OK, DECLINED, ou HTTP_FORBIDDEN.
Les arguments optionnels "early" ou "late" permettent de contrôler le moment auquel ce script s'exécute par rapport aux autres modules.
Non encore implémenté
Par défaut, si des directives LuaHook* se trouvent dans des sections de configuration Directory ou Location qui se chevauchent, les scripts définis dans les sections les plus spécifiques s'exécutent après ceux définis dans les sections plus génériques (LuaInherit parent-first). Vous pouvez inverser cet ordre, ou faire en sorte que le contexte parent ne s'applique pas du tout.
Jusqu'aux versions 2.3.x, le comportement par défaut consistait à ignorer les directives LuaHook* situées dans les sections de configuration parentes.
Cette phase s'exécute juste après l'attribution de la requête à
un serveur virtuel, et permet d'effectuer certains traitements avant
le déroulement des autres phases, ou de servir une requête sans
avoir à la traduire, l'associer à un espace de stockage, etc...
Comme cette phase s'exécute avant toute autre, les directives telles
que
Cette directive ne peut être
utilisée ni à l'intérieur d'une section
Lorsqu'une fonction lua a été enregistrée en tant que fournisseur
d'autorisation, elle peut être appelée via la directive
Cette directive permet d'ajouter un filtre en entrée sous la forme
d'une fonction Lua. A l'instar des filtres en sorties, les filtres en
entrée fonctionnent comme des sous-routines, intervenant dans un premier
temps avant l'envoi du contenu des tampons, puis chaque fois qu'un
paquet de données doit être transmis à la chaîne, et éventuellement
produisant toute donnée à ajouter aux données en entrée. La variable
globale bucket
contient les paquets de données tels qu'ils
sont transmis au script Lua :
Le filtre en entrée peut interdire ou sauter un filtre s'il est considéré comme indésirable :
Voir "Modification de contenu avec les filtres Lua" pour plus de détails.
>Cette directive permet d'ajouter un filtre en sortie sous la forme
d'une fonction Lua. A l'instar des filtres en sorties, les filtres en
entrée fonctionnent comme des sous-routines, intervenant dans un premier
temps avant l'envoi du contenu des tampons, puis chaque fois qu'un
paquet de données doit être transmis à la chaîne, et éventuellement
produisant toute donnée à ajouter aux données en sortie. La variable
globale bucket
contient les paquets de données tels qu'ils
sont transmis au script Lua :
Comme les filres en entrée, le filtre en sortie peut interdire ou sauter un filtre s'il est considéré comme indésirable :
Lorsqu'on utilise un filtre Lua comme fournisseur sous-jacent via la
directive
Voir "Modification de contenu avec les filtres Lua" pour plus de détails.