nginx做文件服务器时使用第三方系统做认证

我们在项目中做文件下载时,一般会使用nginx 做文件下载服务器,但是一旦暴露了 下载链接,其他人就随意下载文件,有安全风险。

其实我们可以使用Nginx的auth_request模块,nginx 在接到下载请求时,将请求转发到我们自己的项目中,我们项目提供一个接口来做认证,认证通过返回nginx 200,否则返回401

栗如:web 项目用户登录会产生一个token, 用户登录后在下载文件时,在请求头(header)中加上Authorization

例如:

nginx 配置如下:

ini 复制代码
      location /img/ {
        auth_request /auth;
        error_page 401 = @auth_required;
        alias   /data/img/;
        image_filter_buffer 10M;
​
      }
      location = /auth {
            proxy_pass http://127.0.0.1:8848/verity;
            proxy_set_header Host $host;
            proxy_set_header X-Real-IP $remote_addr;
            proxy_set_header Authorization $http_authorization;
          }
      location @auth_required {
            return 401;  # 认证失败返回 401 状态码
          }

注意: nginx 需要auth_required 模块,在安装时候执行

bash 复制代码
./configure --with-http_auth_request_module

在使用宝塔面板安装nginx 时,一定要选择编译安装,并记得添加此模块。

后端认证demo

示例为简单的flask 程序

python 复制代码
from flask import Flask, request, abort
​
# 创建一个 Flask 应用实例
app = Flask(__name__)
​
​
@app.route('/')
def hello_world():
    print(request.headers)
    return 'Hello, World!'
​
​
@app.route('/verity')
def verity_func():
    print(request.headers)
    print(request.url)
    if request.headers.get("Authorization")=='12366666':
        return 'ok',200
    else:
        abort(401)
​
​
​
if __name__ == '__main__':
    # 在开发模式下运行应用
    app.run(host='0.0.0.0',port=8848, debug=True)
​
​

/verity 接口模拟解析Authorization认证的过程

测试:

rust 复制代码
curl --location --request GET 'http://124.70.71.86/img/3.jpg?token=111111' \
--header 'Authorization: 12366666' \
--header 'User-Agent: Apifox/1.0.0 (https://www.apifox.cn)'

Authorization 的value 内容可以自定义,

此案例仅仅是一个思路,

比如我们在做文件分享时,比如分享文件有效期为7天,我们生成一个随机url,比如 http://www.demo.com/down/iZNuYBDkPI3N.py我们在redis中将文件真实名字与iZNuYBDkPI3N.py对应存储,这条数据在redis 设置过期时间为7天,用户每次下载都拿iZNuYBDkPI3N.py这个名字来redis 找数据, 找不到则证明超过分享时间了。

仅供参考。

相关推荐
paopaokaka_luck2 分钟前
基于SpringBoot+Vue的电影售票系统(协同过滤算法)
vue.js·spring boot·后端
IT_10246 小时前
Spring Boot项目开发实战销售管理系统——系统设计!
大数据·spring boot·后端
ai小鬼头7 小时前
AIStarter最新版怎么卸载AI项目?一键删除操作指南(附路径设置技巧)
前端·后端·github
Touper.7 小时前
SpringBoot -- 自动配置原理
java·spring boot·后端
一只叫煤球的猫8 小时前
普通程序员,从开发到管理岗,为什么我越升职越痛苦?
前端·后端·全栈
一只鹿鹿鹿8 小时前
信息化项目验收,软件工程评审和检查表单
大数据·人工智能·后端·智慧城市·软件工程
专注VB编程开发20年8 小时前
开机自动后台运行,在Windows服务中托管ASP.NET Core
windows·后端·asp.net
程序员岳焱8 小时前
Java 与 MySQL 性能优化:MySQL全文检索查询优化实践
后端·mysql·性能优化
一只叫煤球的猫9 小时前
手撕@Transactional!别再问事务为什么失效了!Spring-tx源码全面解析!
后端·spring·面试
旷世奇才李先生9 小时前
Ruby 安装使用教程
开发语言·后端·ruby