nginx做文件服务器时使用第三方系统做认证

我们在项目中做文件下载时,一般会使用nginx 做文件下载服务器,但是一旦暴露了 下载链接,其他人就随意下载文件,有安全风险。

其实我们可以使用Nginx的auth_request模块,nginx 在接到下载请求时,将请求转发到我们自己的项目中,我们项目提供一个接口来做认证,认证通过返回nginx 200,否则返回401

栗如:web 项目用户登录会产生一个token, 用户登录后在下载文件时,在请求头(header)中加上Authorization

例如:

nginx 配置如下:

ini 复制代码
      location /img/ {
        auth_request /auth;
        error_page 401 = @auth_required;
        alias   /data/img/;
        image_filter_buffer 10M;
​
      }
      location = /auth {
            proxy_pass http://127.0.0.1:8848/verity;
            proxy_set_header Host $host;
            proxy_set_header X-Real-IP $remote_addr;
            proxy_set_header Authorization $http_authorization;
          }
      location @auth_required {
            return 401;  # 认证失败返回 401 状态码
          }

注意: nginx 需要auth_required 模块,在安装时候执行

bash 复制代码
./configure --with-http_auth_request_module

在使用宝塔面板安装nginx 时,一定要选择编译安装,并记得添加此模块。

后端认证demo

示例为简单的flask 程序

python 复制代码
from flask import Flask, request, abort
​
# 创建一个 Flask 应用实例
app = Flask(__name__)
​
​
@app.route('/')
def hello_world():
    print(request.headers)
    return 'Hello, World!'
​
​
@app.route('/verity')
def verity_func():
    print(request.headers)
    print(request.url)
    if request.headers.get("Authorization")=='12366666':
        return 'ok',200
    else:
        abort(401)
​
​
​
if __name__ == '__main__':
    # 在开发模式下运行应用
    app.run(host='0.0.0.0',port=8848, debug=True)
​
​

/verity 接口模拟解析Authorization认证的过程

测试:

rust 复制代码
curl --location --request GET 'http://124.70.71.86/img/3.jpg?token=111111' \
--header 'Authorization: 12366666' \
--header 'User-Agent: Apifox/1.0.0 (https://www.apifox.cn)'

Authorization 的value 内容可以自定义,

此案例仅仅是一个思路,

比如我们在做文件分享时,比如分享文件有效期为7天,我们生成一个随机url,比如 http://www.demo.com/down/iZNuYBDkPI3N.py我们在redis中将文件真实名字与iZNuYBDkPI3N.py对应存储,这条数据在redis 设置过期时间为7天,用户每次下载都拿iZNuYBDkPI3N.py这个名字来redis 找数据, 找不到则证明超过分享时间了。

仅供参考。

相关推荐
林树的编程频道21 小时前
单例模式的推导
后端
就是帅我不改21 小时前
揭秘Netty高性能HTTP客户端:NIO编程的艺术与实践
后端·面试·github
Ray6621 小时前
SugLucene索引构建
后端
舒一笑21 小时前
Saga分布式事务框架执行逻辑
后端·程序员·设计
Emma歌小白1 天前
完整后台模块模板
后端
得物技术1 天前
MySQL单表为何别超2000万行?揭秘B+树与16KB页的生死博弈|得物技术
数据库·后端·mysql
Emma歌小白1 天前
配套后端(Node.js + Express + SQLite)
后端
isysc11 天前
面了一个校招生,竟然说我是老古董
java·后端·面试
uhakadotcom1 天前
静态代码检测技术入门:Python 的 Tree-sitter 技术详解与示例教程
后端·面试·github
幂简集成explinks1 天前
e签宝签署API更新实战:新增 signType 与 FDA 合规参数配置
后端·设计模式·开源