企业微信机器人服务 Nginx 反向代理怎么配置？有哪些注意事项？

通过 Nginx 的 proxy_pass 将内部请求转发至企业微信 Webhook 地址，适合内网隔离或需要统一出口的场景。核心在于正确配置 HTTPS 上游验证及 Key 的安全存储。

先说结论：配置 Nginx 反向代理是企业微信机器人在内网环境发出的常用方案，重点在于 HTTPS 上游配置和访问权限控制。

适合：内网服务器无法直接访问外网，或需要隐藏真实 Webhook Key 的场景
关键配置：必须开启 proxy_ssl_verify 验证上游证书，建议将 Key 硬编码在 Nginx 配置中
验收：通过 curl 发送测试消息并确认企业微信群收到通知，检查 Nginx 错误日志无 SSL 握手报错

核心配置示例

以下配置展示了两种方案：方案一（推荐）将 Key 硬编码在 Nginx 中，客户端无需感知 Key；方案二透传 Key，但必须配合访问控制。

server {
    listen 8080;
    server_name localhost;

    location / {
        # 【方案一】推荐：Key 写在 Nginx 配置里，客户端请求无需带 key
        # 安全性高，避免 Key 在客户端日志或网络抓包中泄露
        proxy_pass https://qyapi.weixin.qq.com/cgi-bin/webhook/send?key=YOUR_REAL_KEY_HERE;

        # 【方案二】备选：透传 Key，客户端请求需带?key=xxx
        # 风险：若未配置 auth_basic 或 allow/deny，代理接口可能被滥用
        # proxy_pass https://qyapi.weixin.qq.com/cgi-bin/webhook/send;
        # proxy_pass_request_args on;

        # HTTPS 上游关键配置
        proxy_ssl_server_name on;
        proxy_ssl_verify on; # 验证企业微信证书，防止中间人攻击
        proxy_ssl_trusted_certificate /etc/ssl/certs/ca-certificates.crt; # 根据系统实际路径调整

        proxy_set_header Host qyapi.weixin.qq.com;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        
        # 超时设置，避免网络波动导致请求中断
        proxy_connect_timeout 10s;
        proxy_send_timeout 10s;
        proxy_read_timeout 10s;
    }
}

注意：请将 YOUR_REAL_KEY_HERE 替换为企业微信机器人实际的 Key，并将 proxy_ssl_trusted_certificate 路径修改为当前操作系统 CA 证书的实际路径（如 CentOS 通常为 /etc/pki/tls/certs/ca-bundle.crt）。

分步处理

1. 获取 Webhook 地址
在企业微信群机器人设置中复制 Webhook 地址，提取 key 参数值。

2. 配置 Nginx 转发
在 Nginx 配置文件中添加上述 server 块。若采用方案一（硬编码 Key），客户端请求代理地址时无需携带 key 参数；若采用方案二，务必在 location 块中增加 IP 限制或 Basic Auth。

3. 增加访问控制（必做）
为防止他人滥用你的代理接口刷屏，即使硬编码了 Key，也建议限制来源 IP。
IP 限制示例：allow 192.168.1.0/24; deny all;
Basic Auth 示例：auth_basic "Restricted"; auth_basic_user_file /etc/nginx/.passwd;

4. 重载配置
执行 nginx -t 检查语法，确认无误后执行 nginx -s reload。

怎么验证是否生效

1. 本地发送测试请求
根据配置方案选择 curl 命令：

方案一（硬编码 Key）：客户端无需传 key

curl -X POST http://your-nginx-ip:8080 \
-H "Content-Type: application/json" \
-d '{"msgtype":"text","text":{"content":"测试消息"}}'

方案二（透传 Key）：客户端需传 key

curl -X POST http://your-nginx-ip:8080?key=YOUR_KEY \
-H "Content-Type: application/json" \
-d '{"msgtype":"text","text":{"content":"测试消息"}}'

2. 检查 Nginx 日志
查看 access.log 确认状态码为 200，查看 error.log 确认无 upstream SSL certificate verify failed 等错误。

3. 确认消息接收
观察企业微信对应群聊是否收到“测试消息”。

常见风险与排查

1. SSL 握手失败
若 error.log 出现 upstream SSL certificate verify failed，说明未配置 proxy_ssl_verify 或 CA 证书路径错误。生产环境建议开启验证，测试环境可临时关闭（proxy_ssl_verify off;）。

2. 代理接口被滥用（高危）
若采用方案二（透传 Key）且未配置 IP 限制或密码，攻击者扫描到你的 Nginx 端口后可直接利用你的代理发送消息。务必配置 allow/deny 或账号密码。

3. 超时设置
企业微信接口偶尔会有延迟，默认超时时间过短可能导致请求中断。建议 proxy_read_timeout 不低于 10s。

4. 参数传递
如果 proxy_pass 中未包含 key 参数，客户端请求时必须携带，且 Nginx 需配置 proxy_pass_request_args on;（默认通常为 on，但需确认）。

参考来源

企业微信官方文档 - 群机器人 (https://work.weixin.qq.com/api/doc)
Nginx 官方文档 - ngx_http_proxy_module (https://nginx.org/en/docs/)