lighttpd 中的mod_secure_download.c模块中的防盗链技术大家已经很清楚了,但是这个模块要求会改写一些url的地址,形如:
具体参考:[url]http://trac.lighttpd.net/trac/wiki/Docs%3AModSecDownload[/url]
如果有这样的需求,要求不改变原来的下载url,而做到对某些资源进行防盗链呢?
最后我们可以这样做,增加get方法,即是把加密过的部分通过get方法传递给lighttpd的mod_secure_download.c模块
例如,
原来的url: [url]yourserver.com/secure/secure.tar.gz[/url]
新的url:[url]yourserver.com/secure/secure.tar.gz?credentials=fhsfhskfaskfhsakfsk2343askfskfsk[/url]
这样,我们就做到在不改变原来url的情况下又可以用到mod_secure_download.c模块的防盗链功能
下面要修改mod_secure_download.c模块的源代码,其实很简单,只要熟悉lighttpd的一些常见插件就可以在几分钟内搞定这个功能
上面的代码就是通过get方法获得加密的字符串,然后下面的代码就是原来lighttpd中的防盗链出来流程
lighttpd的这个加密模块,我个人认为还是有点需要改进的地方
大家也看出来了,对于防盗链,这里采用的是md5单向加密的技术,但是client端向服务器发送的请求加密串是包含时间的(也正是这个时间才是我们用于判断这个url的有效时间,从而达到防盗链的目的),个人觉得可以对明文传输的时间进行一下简单的加密(当然要是可以双向的加密)
还有一点需要注意的地方,就是这个防盗链模块在lighttpd的配置文件中的lighttpd.conf加载顺序是很重要的,
一定要将这个防盗链模块放在mod_flv_streaming.c/mod_h264_streaming.c模块加载之前加载
否则,防盗链模块会不起作用的,因为flv/h264这些模块里面会有
注:该文章之前发布在[url]http://www.hiadmin.com/lighttpd防盗链技术的一个变形/[/url]
The generated URL has to have the format:
<uri-prefix>/<token>/<timestamp-in-hex>/<rel-path> which looks like "yourserver.com/bf32df9cdb54894b22e09d0ed87326fc/435cc8cc/secure.tar.gz"
<token> is an MD5 of
1. a secret string (user supplied)
2. (rel-path)(starts with /)
3. (timestamp-in-hex)
具体参考:[url]http://trac.lighttpd.net/trac/wiki/Docs%3AModSecDownload[/url]
如果有这样的需求,要求不改变原来的下载url,而做到对某些资源进行防盗链呢?
最后我们可以这样做,增加get方法,即是把加密过的部分通过get方法传递给lighttpd的mod_secure_download.c模块
例如,
原来的url: [url]yourserver.com/secure/secure.tar.gz[/url]
新的url:[url]yourserver.com/secure/secure.tar.gz?credentials=fhsfhskfaskfhsakfsk2343askfskfsk[/url]
这样,我们就做到在不改变原来url的情况下又可以用到mod_secure_download.c模块的防盗链功能
下面要修改mod_secure_download.c模块的源代码,其实很简单,只要熟悉lighttpd的一些常见插件就可以在几分钟内搞定这个功能
/*
* if there is a credentials = md5,
* otherwise sent 403
* */
if (NULL != (get_param = (data_string *)array_get_element(p->get_params, "credentials"))) {
/* too short */
if (get_param->value->used < 2) {
con->http_status = 403;
return HANDLER_FINISHED;
}
md5_str = get_param->value->ptr;
/* check if it is a md5 string */
if ( strlen(md5_str) != 40 || !is_hex_len(md5_str, 40) ) {
con->http_status = 403;
log_error_write(srv, __FILE__, __LINE__, "ss", "credentials-md5 invalid:", md5_str);
return HANDLER_FINISHED;
}
}
else{
con->http_status = 403;
return HANDLER_FINISHED;
}
上面的代码就是通过get方法获得加密的字符串,然后下面的代码就是原来lighttpd中的防盗链出来流程
lighttpd的这个加密模块,我个人认为还是有点需要改进的地方
大家也看出来了,对于防盗链,这里采用的是md5单向加密的技术,但是client端向服务器发送的请求加密串是包含时间的(也正是这个时间才是我们用于判断这个url的有效时间,从而达到防盗链的目的),个人觉得可以对明文传输的时间进行一下简单的加密(当然要是可以双向的加密)
还有一点需要注意的地方,就是这个防盗链模块在lighttpd的配置文件中的lighttpd.conf加载顺序是很重要的,
一定要将这个防盗链模块放在mod_flv_streaming.c/mod_h264_streaming.c模块加载之前加载
server.modules = ( ..., "mod_secdownload",
"mod_flv_streaming",
"mod_h264_streaming",
... )
否则,防盗链模块会不起作用的,因为flv/h264这些模块里面会有
con->file_finished = 1;
return HANDLER_FINISHED;
注:该文章之前发布在[url]http://www.hiadmin.com/lighttpd防盗链技术的一个变形/[/url]