判断用户权限后,如何高效的提供文件下载

最新推荐文章于 2019-01-22 11:12:05 发布
最新推荐文章于 2019-01-22 11:12:05 发布
阅读量1.1k 收藏
点赞数
分类专栏: 随笔
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tsxw24/article/details/43968537
版权

问题:某些文件只希望特定用户可以下载,那么下载之前必须进行权限判断。判断通过时,跳转到被下载文件的真实地址肯定不行,这相当于没有做权限限制了。一般的做法是读取被下载的文件然后输出给用户。在这个过程中动态语言干了一件吃力不讨好的事情,转了一个弯读取数据然后在交给web服务器输出,多消耗了资源还可能降低下载速度。


对于此问题,我曾一度纠结,后来才发现web服务器有一个X-Sendfile的特性,可以很完美的解决这个问题。今天记录下以备将来查看。


X-Sendfile特性的基本原理,就是动态语言发送一个特殊的http header指令,这个指令只能被web服务器获取和识别,不会发送到用户端。其作用就是告诉web服务器一个文件路径,让其把这个文件发送给用户。不同web服务器可能有些差别,但几个常见的web服务器都支持这个特性。


以php为例

在Apache中可以这样写:

<?php
//.....
//权限判断通过
header("X-Sendfile: /download/thaiki.exe");

更详细的说明请看惠新宸博客


若是nginx

<?php
//.....
//权限判断通过
header('X-Accel-Redirect: /download/thaiki.exe');
更详细可以参考这篇 博文

five-zh
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
后端分离下解决文件下载权限问题
瑾析编程
10-26 1504
问题 背景介绍 前后端分离框架中,前端在发起Ajax请求时,在Header携带Token值,后端获取该Token进行权限校验。 问题描述 在下载文件的场景,大部分浏览器是不支持Ajax请求文件下载,所以通常做法是直接请求下载地址,这时候是无法通过代码设置Header的参数,也就是无法知道当前用户信息,如何进行权限控制? 解决方案 该问题的痛点是数据权限问题。 初步思路 在用户要下载的时候,先进行权限校验 权限不足时,进行信息提示 权限足够时,则为用户生成一次性的下载链接(下载一次后失效,保证数据安全)
限制文件下载(非注册用户不能下载或者你加别的权限)
jlj0918的专栏
03-11 2579
          有时候需要对要下载文件权限或者要记录下载的次数,该怎么处理呢?实际上也非常简单。下边将告诉你怎么做:         先做一个假设,假设你的下载链接是:http://202.168.102.125/download/down.aspx,要下载文件存放在D:/WebSit/download/Code.rar。         一般情况下我们要下载一个文件,直接给这个文件加个链
下载权限控制机制(转)
weixin_30530339的博客
02-17 253
下载权限控制机制 要对下载权限进行精确的控制(防止盗链,防止迅雷吸血,下载扣除积分等虚拟货币),以前接触的方法有几种:1、通过rewrite不断地更改下载文件的url,并插入很多无意义的字符;2、验证下载链接的来路,或者cookie;3、通过服务器端程序(例如一个php文件),open文件,读取内容然后返回给客户端。 第一种方法很笨,而且吃力不讨好;第二种方法很容易破解,因为ref...
26.Struts2文件下载并在下载文件之前进行权限检查
q1054261752的博客
10-15 427
文件下载:   可能有人疑问:直接把文件放在Web应用的根路径下,即可实现文件下载。        但实际上可能存在如下问题:    1.当文件名有中文字符时,就无法下载了。    2.直接放在Web应用的根路径下,将导致所有人可以自由下载该资源,毫无安全性可言。        为了解决上面两个问题,此时就需在通过struts 2的文件下载进行控制了。    实现文
用户权限控制框架,项目记录
11-30
4. **鉴权机制**:在用户尝试访问资源时,系统应进行权限检查,判断用户是否有执行特定操作的权限。 5. **动态权限**:考虑到业务需求的变化,权限控制应支持动态更新,比如在运行时添加新角色或调整权限分配。 6....
python检查目录文件权限并修改目录文件权限的操作
09-17
### Python 检查与修改目录文件权限 在日常运维工作中,经常需要处理与文件系统权限相关的任务。本文将深入探讨如何使用Python脚本来检查和修改文件...通过掌握这些技巧,你可以更高效地管理服务器上的文件系统权限
文件助手用于上传下载文件
最新发布
05-27
2. **文件下载**:与上传类似,文件助手也支持从网络上下载文件到本地。它可能具有多线程下载、限速设置、下载任务管理等功能,帮助用户更高效、更灵活地管理下载任务。 3. **批量操作**:对于需要处理大量文件的...
asp.net 文件下载实现代码
10-29
以上是 ASP.NET 中文件下载实现的核心知识点,这段代码提供了一个基本的、支持断点续传的文件下载服务实现。需要注意的是,实际生产环境中可能还需要考虑安全性、权限控制、并发处理等问题,例如限制非法文件路径...
Python 判断文件或目录是否存在的实例代码
09-20
总结来说,Python提供了多种方式来判断文件或目录是否存在。选择哪种方法取决于具体的应用场景和需求。`os.path`和`os.access`适用于简单的文件系统操作,而`open()`结合异常处理则提供了更详细的错误信息。对于更...
Java及nginx实现文件权限控制代码实例
08-19
主要介绍了Java及nginx实现文件权限控制代码实例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
nginx-rtmp加入权限验证的简单方法
luoc83的专栏
02-02 1万+
nginx-rtmp-module默认不限制推流权限、播放权限。如果想加入权限验证,有很多种方法。   方法一:修改源码,如: 如何给 nginx rtmp 服务加入鉴权机制 http://blog.csdn.net/cui918/article/details/53540397   方法二:修改nginx配置,如: nginx-rtmp-module权限控制 http://blo
文件下载权限控制(asp.net)
maximon的专栏
12-26 2087
 笔者做一个报表展示的网站,报表使用excel形式存放在服务器,希望登录的人或者有权限的人才能下载excel报表。但是文件下载的路径无法隐藏,所以页面控制根本没用。近日在研究iis的时候,突然就豁然开朗了。 首先编辑或者修改网站的web.config,加入或者修改红色区域    身份验证           此节设置应用程序的身份验证策略。可能的模式是 "Windows"、
关于Web资源文件权限的简单设置
weixin_34367257的博客
01-22 852
整改一些业务系统时,加了WEB资源文件权限,比如上传doc,可能随机命名,但总可能被猜到,猜到就能访问到。 首先,禁止Url文件名直接访问 以Apache为例,在禁止访问文件目录(file_path)下新建 .htaccess # 单个文件 <Files ~ "\.jpg$"> # 多个文件(写着就不让访问了) <Fil...
绕过discuz论坛阅读或下载权限
热门推荐
.
07-18 5万+
discuz X3.1  文件下载提权方案 利用工具和条件: 1.站长工具base64在线加解密 http://tool.chinaz.com/Tools/Base64.aspx 2.能正常登录的普通帐号 3.能浏览vip专区的内容,但是文件下载链接为没有权限的链接 思路是以管理员的uid欺骗站点放出权限 Discuz的附件下载地址是类似forum.php?mod
Linux C高效判断文件是否存在的方法
06-01
在Linux C中,判断文件是否存在的方法有很多种,以下是几种高效的方法: 1. access函数 access函数可以检查文件或目录是否存在,并且可以检查文件或目录是否有指定的权限。如果文件或目录不存在,则access函数会返回-1,errno被设置为ENOENT。 示例代码: ``` #include <stdio.h> #include <stdlib.h> #include <unistd.h> #include <errno.h> int main(int argc, char **argv) { if (access("/path/to/file", F_OK) == -1) { if (errno == ENOENT) { printf("File does not exist.\n"); } else { perror("access"); } return EXIT_FAILURE; } printf("File exists.\n"); return EXIT_SUCCESS; } ``` 2. stat函数 stat函数可以获取文件或目录的详细信息,如果文件或目录不存在,则stat函数会返回-1,errno被设置为ENOENT。 示例代码: ``` #include <stdio.h> #include <stdlib.h> #include <sys/stat.h> #include <errno.h> int main(int argc, char **argv) { struct stat st; if (stat("/path/to/file", &st) == -1) { if (errno == ENOENT) { printf("File does not exist.\n"); } else { perror("stat"); } return EXIT_FAILURE; } printf("File exists.\n"); return EXIT_SUCCESS; } ``` 3. fopen函数 fopen函数可以打开文件,如果文件不存在,则fopen函数会返回NULL,并且errno被设置为ENOENT。 示例代码: ``` #include <stdio.h> #include <stdlib.h> #include <errno.h> int main(int argc, char **argv) { FILE *fp; if ((fp = fopen("/path/to/file", "r")) == NULL) { if (errno == ENOENT) { printf("File does not exist.\n"); } else { perror("fopen"); } return EXIT_FAILURE; } fclose(fp); printf("File exists.\n"); return EXIT_SUCCESS; } ``` 以上是几种高效判断文件是否存在的方法,可以根据实际情况选择使用。其中,access函数是最简单的方法,stat函数可以获取更多的文件信息,而fopen函数可以直接打开文件进行读写操作。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值