Nginx文件下载预览加权限验证的思考和实现

已于 2023-07-21 11:21:47 修改
阅读量1.1k 收藏 2
点赞数
文章标签: nginx 运维
于 2023-07-19 22:42:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_26030541/article/details/131819456
版权

做的项目中多个模块涉及到附件、图片、PDF/Excel等文件的处理,包括预览、导出和下载等功能。对于体积较小的文件,可以直接由后端以流形式传输给前端处理;而较大的文件则需要通过nginx进行转发。但是如果nginx中不设置鉴权服务,可能会造成数据泄露的风险。为保障数据安全,有必要在nginx中加上鉴权功能,对文件传输和访问进行控制。

先来说思路,为nginx增加ngx_http_auth_request_module模块,实现基于子请求的结果的客户端的授权。如果子请求返回2xx响应码,则允许访问。如果它返回401或403,则访问被拒绝并显示相应的错误代码。子请求返回的任何其他响应代码都被认为是错误的。即在原来的基础上加了一层后端鉴权服务。

1. 下载扩展鉴权模块ngx_http_auth_request_module
git clone https://github.com/PiotrSikora/ngx_http_auth_request_module.git
查看nginx编译安装时安装了哪些模块

image.png
通过在nginx目录下执行:./nginx -V,可以看出编译安装使用了--prefix=/usr/local/nginx --with-http_stub_status_module --with-http_ssl_module

2. 安装新模块ngx_http_auth_request_module

进入nginx的源码包(一般编译安装完nginx后会删除,如果本地没有了的话就去官网下个源码包),加入需要安装的模块,重新编译,在编译参数最后添加 --add-module=/usr/local/ngx_http_auth_request_module

# ./configure --prefix=/usr/local/nginx --with-http_stub_status_module --with-http_ssl_module --add-module=/usr/local/ngx_http_auth_request_module
# make    // 这里不要make install,不然就覆盖了原来的nginx!!!

注意:这里只需要make就行了,千万不要make install,不然就覆盖了原来的nginx!!!

3. 修改nginx配置
# Managed static resources
server {
    listen       15550;

    location /zcauth {
        internal;
		# 鉴权服务器的地址
        proxy_pass http://127.0.0.1:8081/auth/token;
        proxy_pass_request_body off;
        proxy_set_header Content-Length "";
        proxy_set_header X-Original-URI $request_uri;
    }

    # ROOT for ALL Files(数据文件根路径)
    location / {
        auth_request /zcauth;
		auth_request_set $auth_status $upstream_status;

        root /home/Filedata/;

        #add_header Access-Control-Allow-Origin $http_origin;
        add_header Access-Control-Allow-Origin *;
        add_header Access-Control-Allow-Methods *;
        add_header Access-Control-Allow-Headers *;

        #add_header Content-Type "application/octet-stream";
        autoindex on;
    }
}

在需要请求身份验证的位置,指定auth_request指令,在该指令中指定将授权子请求转发到的内部位置/zcauth,在这里,对于每个请求,都会向内部/zcauth位置发出一个子请求。在/zcauth内的proxy_pass指令,将把身份验证子请求代理到身份验证(鉴权)服务器或服务。由于身份验证子请求将丢弃请求体,因此需要将proxy-pass-request-body指令设置为off,并将Content-Length头设置为空字符串。使用带有proxy_set_header指令的参数传递完整的原始请求URI。(作为选择,可以使用auth_request_set指令根据子请求的结果设置变量值)。

4. 实现后端鉴权服务
package com.yorma.staticauth.controller;

import cn.hutool.core.date.DateUtil;
import com.yorma.util.MD5Util;
import lombok.extern.slf4j.Slf4j;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.data.redis.core.RedisTemplate;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.util.Date;
import java.util.HashMap;

import static cn.hutool.core.text.CharSequenceUtil.isBlank;
import static cn.hutool.core.text.CharSequenceUtil.isNotBlank;
import static cn.hutool.core.util.ObjectUtil.isEmpty;
import static com.yorma.staticauth.domain.Const.*;

/**
 * auth验证
 *
 * @author ZHANGCHAO
 * @version 1.0.0
 * @date 2023/7/17 11:34
 */
@Slf4j
@RestController
@RequestMapping("/auth")
public class NginxAuthRequestController {
    
 	public static final String HEADER_TOKEN = "X-Access-Token";
    public static final String USERNAME = "username";
    public static final String PREFIX_USER_TOKEN_INFO = "prefix_user_info_token_";
    
    @Autowired
    private RedisTemplate<String, Object> redisTemplate;

    @GetMapping("/token")
    public void auth(HttpServletRequest request, HttpServletResponse response) {
        // 通过 HttpServletRequest 获取请求头中的 token
        String token = request.getHeader(HEADER_TOKEN);
        log.info("Token from HttpServletRequest: " + token);
        String uri = request.getHeader("X-Original-URI");
        log.info("URI from HttpServletRequest: " + uri);
        if (isBlank(token)) {
            if (isNotBlank(uri) && uri.contains("X-Access-Token=")) {
                String tokens = uri.split("X-Access-Token=")[1];
                String match = MD5Util.MD5Encode(DateUtil.formatDate(new Date()) + "F70C5833-7D02-47A6-B8D5-93B97CBAF87F", "utf-8");
                log.info("本地MD5后的值: " + match + " | 过来的值:" + tokens);
                if (match.equals(tokens)) {
                    response.setStatus(200);
                    return;
                }
            }
            response.setStatus(401);
            return;
        }
        String username = "";
        if (redisTemplate.hasKey(PREFIX_USER_TOKEN_INFO + token)) {
            HashMap<String, Object> claim = (HashMap<String, Object>) redisTemplate.opsForValue().get(PREFIX_USER_TOKEN_INFO + token);
            if (isEmpty(claim)) {
                response.setStatus(403);
                return;
            }
            username = String.valueOf(claim.get(USERNAME));
        }
        if (isBlank(username)) {
            response.setStatus(403);
            return;
        }
        response.setStatus(200);
    }
}

支持两种方式:1. token放到请求头Header里的正常token 2. 直接放请求URL中的按一定规则生成的32位MD5 token。先取Header里的,如果取不到则取URL中的。

5. 测试效果

先来个导出Excel功能,token在请求头中,功能正常。
image.png

表单图片,token在请求URL中,预览正常。
image.png

如果直接在浏览器请求,则失败:
在这里插入图片描述

总结

Nginx文件服务鉴权使用ngx_http_auth_request_module模块实现,功能简单实用。当然还有其他的技术方案可以来实现,如第三方的扩展模块x-sendfile等。可根据自己项目的实际情况灵活处理。

码上艺术家
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Java及nginx实现文件权限控制代码实例
08-19
主要介绍了Java及nginx实现文件权限控制代码实例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Nginx 静态资源或者路径鉴权
longxiaobai_WJ的博客
04-21 1289
Nginx 静态资源或者路径鉴权
[转载] nginx +后端 对静态文件进行鉴权
面朝大海,春暖花开
05-30 1874
nginx +后端 对静态文件进行鉴权
Nginx做静态文件服务器,如何进行权限验证呢?
u014374743的博客
02-01 1696
Nginx实现后台接口授权
Nginx图片服务器时,如何校验权限
weixin_44269248的博客
09-22 1335
Nginx图片服务器时,如何校验权限 Nginx配置 #user nobody; worker_processes 1; #error_log logs/error.log; #error_log logs/error.log notice; #error_log logs/error.log info; #pid logs/nginx.pid; events { worker_connections 1024; } http { includ
Nginx请求参数解析,auth_request img图片鉴权应用
nalanxiaoxiao2011的博客
10-11 2003
vue中给img的src添token
Nginx ngx_http_auth_request_module模块鉴权
AstarCloud
11-23 2803
auth_request模块 实现了基于一子请求的结果的客户端的授权。如果子请求返回2xx响应码,则允许访问。如果它返回401或403,则访问被拒绝并显示相应的错误代码。子请求返回的任何其他响应代码都被认为是错误的。使用的也是subrequest进行子请求。
Nginx鉴权验证token
u010741032的博客
06-17 7967
Nginx集成Lua脚本,对静态资源文件进行鉴权,防止非法访问
使用Nginx对静态资源鉴权
码拉松
07-15 5450
使用nginx对静态资源鉴权
springMvc+nginx文件鉴权(校验权限)服务器
小菜bill的博客
12-03 3090
一、环境 springmvc开发的javaweb系统。 二、需求 需要鉴权后才能访问上传的文件(指定文件夹中的文件)。 三、原来访问文件的方式 1、使用tomcat做文件服务器,通过tomcat的server.xml配置文件的访问路径。 2、特点:不需要鉴权就能访问文件 3、访问路径:http:localhost:8080/download/test.png 注意:http:l...
nginx配置auth鉴权页面
少言才不会咸's Tech-blog
10-10 275
【代码】nginx配置auth鉴权页面。
nginx配置用户认证
Jepson的博客
04-20 5270
需求: 在nginx中配置用户认证,实现用户登录某个网站时,需要输入用户名和密码认证后方可访问,如下图: nginx安装,参考教程:https://blog.csdn.net/d1240673769/article/details/103736477 nginx认证模块 ngx_http_auth_basic_module 模块实现让访问者,只有输入正确的用户密码才允许访问web内容。web上的一些内容不想被其他人知道,但是又想让部分人看到。nginx的http auth模块以及Apache http a
Node.JS段点续传:Nginx配置文件分段下载功能的实现方法
10-18
在Node.JS中可以配置这个标签来实现文件的分段下载。这篇文章给大家介绍了Node.JS段点续传:Nginx配置文件分段下载功能的实现方法,需要的朋友参考下吧
nginx文件下载指定保存文件名的配置方法
09-30
主要介绍了nginx中文件文件指定保存文件名的配置方法,可以达到实际文件名和保存的文件名不相同的效果,需要的朋友可以参考下
分享nginx+php-fpm实现文件下载排坑的过程
09-30
主要介绍了nginx+php-fpm实现文件下载排坑的过程,文中通过代码实例相结合的形式给大家介绍的非常详细,具有一定得参考借鉴价值,需要的朋友参考下吧
Nginx列出目录和文件并用密码控制访问权限配置方法
09-30
主要介绍了Nginx列出目录和文件并用密码控制访问权限配置方法,本文给出了详细的安装配置步骤,需要的朋友可以参考下
Docker consul的容器服务更新与发现
最新发布
YUEAwb的博客
04-29 616
consul是google开源的一个使用go语言开发的服务管理软件。支持多数据中心、分布式高可用的、服务发现和配置共享。采用Raft算法,用来保证服务的高可用。内置了服务注册与发现框架、分布一致性协议实现、健康检查、Key/Value存储、多数据中心方案,不再需要依赖其他工具(比如ZooKeeper等)。服务部署简单,只有一个可运行的二进制的包。每个节点都需要运行agent,他有两种运行模式server 和 client。
Virtualbox7.0.10--创建虚拟机
醉殇姒若梦遗年 ツ的博客
04-29 315
6.完成后的界面,至此虚拟机新建完成。左侧是我们新建的虚拟电脑,右侧是它的一些配置项,右侧上方,我们可以点击【注册】进行导入一个操作系统的镜像,【启动】可以直接启动虚拟电脑。虚拟电脑名称为Ubuntu20.04,文件夹存放在D盘,虚拟光盘可以暂时不选,系统类型设置为Linux,版本设置为Ubuntu(64-bit),设置好以后单击“4.内存配置好后,就需要配置下硬盘了,主要是硬盘的容量,默认是25G,可以不改,直接。5.最后,再确认一下整体的配置,如果没有问题,可以直接点击“”,进入新建虚拟电脑页面。
常见Linux操作系统SSH配置详解
weixin_42132035的博客
04-25 385
SSH(Secure Shell)是一种网络协议,用于密方式远程登录和操作计算机系统。Linux用户经常需要通过SSH来安全地管理系统。本文将详细介绍在不同Linux发行版(CentOS、Ubuntu、RedHat、Debian、Fedora)上配置SSH服务的步骤。
nginx实现图片预览
01-23
nginx可以通过配置来实现图片预览功能。以下是一个简单的配置示例: ```nginx server { listen 80; server_name example.com; location /images { alias /path/to/images; autoindex on; } } ``` 上述配置中,`/path/to/images`是存放图片的目录。当访问`http://example.com/images`时,nginx会自动列出该目录下的所有图片,并提供预览功能。 你也可以通过配置缩略图生成模块来实现图片的缩略图预览。例如,使用`ngx_http_image_filter_module`模块可以实现图片的缩放、裁剪等操作。以下是一个示例配置: ```nginx server { listen 80; server_name example.com; location /images { alias /path/to/images; autoindex on; } location /thumbnails { alias /path/to/thumbnails; image_filter resize 200 200; image_filter_jpeg_quality 80; image_filter_buffer 20M; image_filter_interlace on; image_filter_sharpen 0.5; } } ``` 上述配置中,`/path/to/thumbnails`是存放缩略图的目录。当访问`http://example.com/thumbnails`时,nginx会根据配置生成指定大小的缩略图,并提供预览功能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值