嘿，看起来你遇到了NGINX重定向循环和配置逻辑的问题，我来帮你一步步拆解：

一、重定向循环的原因分析 #

你提到配置了80转443的301重定向后，直接访问HTTPS反而得到301，甚至用curl -L触发了最大重定向次数——这大概率是后端服务（localhost:3000）在处理HTTPS请求时，返回了指向HTTP的重定向。

举个具体的流程：当你用curl https://secondave.net --insecure访问时，NGINX把请求转发给localhost:3000，而你的后端服务可能因为没正确识别外部请求是HTTPS，就把响应重定向到http://secondave.net，NGINX接着把这个301响应返回给客户端。如果客户端跟着重定向走（比如加了-L参数），就会访问80端口，然后NGINX又把它重定向回HTTPS，如此反复形成循环。

而当你注释掉80块的return 301后，客户端收到后端返回的HTTP重定向时，会直接访问80端口的NGINX，这时候80块没有重定向，直接代理到3000，所以看起来“正常”——但实际上你并没有实现HTTPS强制跳转的核心需求。

二、解决重定向循环的方案 #

要解决这个问题，你需要让后端服务知道外部请求是HTTPS的，这样它就不会返回HTTP的重定向。可以通过在NGINX的HTTPS代理配置中添加X-Forwarded-Proto头来实现：

修改HTTPS server块的location配置：

location / {
    proxy_pass http://localhost:3000;
    # 告诉后端服务外部请求是HTTPS协议
    proxy_set_header X-Forwarded-Proto $scheme;
    # 其他常用代理头也建议加上，确保后端能正确获取请求信息
    proxy_set_header Host $host;
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}

这样后端服务就能识别到外部是HTTPS请求，不会再返回HTTP的重定向，循环问题自然就解决了。

三、80端口无配置时无法代理的原因 #

当你把80端口的server块留空时，NGINX会使用默认的静态文件配置（比如默认root目录是/usr/share/nginx/html），如果这个目录下没有对应请求的文件，就会返回404错误。而当你添加了proxy_pass http://localhost:3000;后，NGINX会把80端口的请求直接转发给后端服务，所以能正常访问。

最终推荐的完整配置 #

结合你的需求（强制HTTPS跳转+正常代理），推荐你使用以下配置：

user nginx;
worker_processes auto;
error_log /var/log/nginx/error.log notice;
pid /run/nginx.pid;

events {
    worker_connections 1024;
}

http {
    include       mime.types;
    default_type  application/octet-stream;
    sendfile        on;
    keepalive_timeout  65;

    server {
        listen       443 ssl default_server;
        listen       [::]:443 ssl default_server;
        include      snippets/self-signed.conf;
        include      snippets/ssl-params.conf;
        server_name  _;

        location / {
            proxy_pass http://localhost:3000;
            proxy_set_header X-Forwarded-Proto $scheme;
            proxy_set_header Host $host;
            proxy_set_header X-Real-IP $remote_addr;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        }
    }

    server {
        listen 80;
        listen       [::]:80;
        server_name  _;

        # 直接把所有HTTP请求重定向到HTTPS
        return 301 https://$host$request_uri;
    }
}

这个配置既实现了HTTP到HTTPS的强制跳转，又通过传递X-Forwarded-Proto头避免了后端返回错误的重定向，同时80端口不再需要代理逻辑，统一走重跳转即可。

备注：内容来源于stack exchange，提问作者Jackie