Web静态资源访问鉴权实现思路

最新推荐文章于 2024-05-28 00:00:00 发布
最新推荐文章于 2024-05-28 00:00:00 发布
阅读量1.7k 收藏
点赞数
分类专栏: PHP 文章标签: javascript apache
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014265398/article/details/121723134
版权

1.背景

前端时间公司的测试产品的时候,曾经发现一个问题未登录鉴权的js,在知道其访问路径的情况下也可以访问,这违反了公司的安全要求,要求研发整改

2 思考

事实上,在web端,使用apache作为服务器,一般放在公开目录,所有用户都可以不鉴权就可以访问,要实现js鉴权访问,那么每次访问js必须访问到控制器,在控制器的方法里面写鉴权逻辑

3 方案

方案一

利用apache的.access文件重写规则,将需要的鉴权的js 重定向到一个指定的方法中进行鉴权

  RewriteEngine on   #开启mod_rewrite模块功能
  RewriteRule .*.(js)$ http://www.111cn.net/ [L]

这种方案js每次访问都会请求两次,有点消耗性能

方案二

假设把需要进行鉴权的文件放到不公开的目录,对外不能直接访问,提供公共访问的接口来读取js,页面通过请求这个接口加载js的内容

这种方式可以解决方案一的缺点,但是这种方式改动的文件有点多,但是还存在一个问题,就是JS每次都是从服务端获取,浏览器客户端都不会缓存。解决这个问题,需要返回的javascript的请求头中添加一个属性

Cache-Control:max-age=36000

这样Javascript便可以缓存,加载更加迅速

一杯雪花勇闯天涯
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Apache 配置静态缓存+禁止解析+限制访问目录
haoyiyide的博客
02-17 3489
1.Apache 配置静态缓存 为了提高资源的利用率,可以设置文件缓存的时间长短 # vim /usr/local/apache2/conf/extra/httpd-vhosts.conf 找到:CustomLog "|/usr/local/apache2/bin/rotatelogs -l /usr/local/apache2/logs/test.com-access_%Y%m
06掌握web静态资源访问规则.md
08-30
06【掌握】web静态资源访问规则.md
利用nginx内部访问特性实现静态资源授权访问
左直拳的马桶_日用桶
02-23 1967
在nginx中,将静态资源设为internal;然后将前端的静态资源地址改为指向后端,在后端的响应头部中写上静态资源地址。近期客户对我们项目做安全性测评,暴露出一些安全性问题,其中一个是有些静态页面(*.html)无须授权即可直接访问,里面的信息一览无遗,不安全。这些静态页面都是arcgis地图页面,依赖arcgis for js,没有办法做成一般意义上的动态页面。或者说,该项目是个老项目,目前只处于维护阶段,大规模改头换面不现实。
Nginx(openresty) 通过lua结合Web前端 实现图片,文件,视频等静态资源 访问权限验证,进行鉴权 ,提高安全性
最新发布
tonyhi6的博客
05-28 715
鉴权接口,访问静态资源需要带上时间戳(timestamp)和token参数;timestamp为毫秒时间戳,75s之内时间有效(失效时间可以自定义);时间过期,访问返回403 Forbidden;本文只做测试(⊙﹏⊙)5 nginx 文件服务器 ,通过lua 编写接口来鉴权访问需要授权,如此一定程度,提供安全性。#URL 带上timestamp和Token 访问正常。#放一张图片测试 nginx文件服务器,可以直接访问。欢迎大家一起交流, 可以加我的微信(⊙﹏⊙)#时间超过75秒,访问看,返回403。
使用Nginx对静态资源鉴权
码拉松
07-15 5785
使用nginx对静态资源鉴权
Nginx 静态资源或者路径鉴权
longxiaobai_WJ的博客
04-21 1410
Nginx 静态资源或者路径鉴权
简单静态页面鉴权
kaydenlsr
06-27 971
简单静态页面鉴权方案
采用openresty作为网关为静态资源鉴权访问
胡汉三
07-06 807
最近在项目中遇到了一个需求。新系统采用的fastdfs来做的文件服务。老系统是自己写的文件服务、里面存在大量的附件(上百G)、虽然是历史数据了但还是有访问的需求。老系统的数据也需要放到文件服务上面去、但是fastdfs不支持将文件直接复制到相应的目录、需要走fastdfs上传一次。然而上传到fastdfs过后附件的名称就会发生改变,这个时候就跟原数据库中的附件名称不匹配了。当然也可以在上传的时候记录下对应的文件名称的变化后的文件名称、但是考虑到数据量过于庞大、又要求快速上线。就想到直接使用nginx来配置一
SpringBoot静态资源目录访问
08-26
SpringBoot 框架中,静态资源目录访问是指在 Web 应用程序中访问静态资源文件,如 JavaScript、CSS、图片、字体等文件的方式。静态资源目录访问Web 应用程序中不可或缺的一部分,SpringBoot 框架提供了多种方式来...
php实现JWT(json web token)鉴权实例详解
10-16
主要介绍了php实现JWT(json web token)鉴权实例详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
python实现静态web服务器
09-18
主要为大家详细介绍了python实现静态web服务器,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
Java中使用JWT生成Token进行接口鉴权实现方法
08-25
Java中使用JWT生成Token进行接口鉴权实现方法 Java中使用JWT生成Token进行接口鉴权实现方法是当前最流行的鉴权方式之一。通过本文,读者可以了解到使用JWT生成Token进行接口鉴权的详细实现方法。 什么是JWT? JWT...
java web 访问静态资源时注意设置 其访问权限,不然就访问不了
qq_32217519的博客
05-18 5294
在spring-mvc.xml   中添加如 :           javadoc/**" location="/javadoc/"/>     upload/**" location="/upload/"/> 红色为文件夹名称
php 指向静态文件,apache 配置静态资源访问
weixin_42116794的博客
03-20 731
需要开启LoadModule mime_magic_module /home/users/pengzhi/.jumbo/lib/httpd/modules/mod_mime_magic.so使用alias 配置 额外路径 在VirtualHost中 对于 proxypass 配置php时 需要 添加 \.php 防止静态资源也打到php-fpm上了例如ProxyPassMatch ^/(.*\....
web应用的认证与鉴权
MyySophia的博客
12-27 695
认证解决的就是你是谁的问题,当登录一个web电商平台,当你很high的浏览商品的时候并不需要你的认证,但是当你准备下单的时候就需要你登录。要解决你是谁的问题?主要是你的账户有没有钱:)当你登录之后,接下来最重要的是授权阶段,主要是区分你是不是VIP用户或admin用户。http是无状态的服务,当你首次登录web应用之后,http并不知道。如果服务器或者浏览器没记录下来的话,再次刷新页面可能就需要你重新登录。这显然是不合理的。因此session这个概念出现了。
浅浅说一下后台管理系统的鉴权
an_julia的博客
08-05 689
后台管理鉴权
nginx对静态资源或者路径鉴权的处理方案(Linux和windows)
u012064533的博客
03-12 3185
nginx官网下载最新稳定版, 我这里下载:nginx-1.16.1.tar.gz 下载pcre,解压备用 我的nginx编译参数: ./configure --prefix=/home/xxxx/software/nginx --with-pcre=/home/xxxx/software/pcre-8.43 --with-http_auth_request_module 编译后,n...
nginx 文件服务器鉴权,nginx笔记-鉴权及转发配置
weixin_36444484的博客
08-04 831
#user nobody;worker_processes 3;error_log logs/error.log;#error_log logs/error.log notice;#error_log logs/error.log info;# pid logs/nginx.pid; # 这个必须停服改events {worker_connections 2048;}...
[转载] nginx +后端 对静态文件进行鉴权
面朝大海,春暖花开
05-30 2008
nginx +后端 对静态文件进行鉴权
tornado如何实现app和web同时token鉴权
03-23
Tornado可以通过使用JWT(JSON Web Token)来实现同时对App和Web进行Token鉴权。 JWT是一种基于JSON的开放标准(RFC 7519),用于在网络上安全地传输信息。它由三部分组成:Header、Payload和Signature。其中,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值