springboot实现文件防盗链设计

shigen坚持更新文章的博客写手,擅长Java、python、vue、shell等编程语言和各种应用程序、脚本的开发。记录成长,分享认知,留住感动。 个人IP:shigen

👋👋👋hello,伙伴们好久不见,最近shigen遇到了很多的事情,现在算是安顿好了,也可以开始技术分享了。但是分享的频率的话,肯定会比之前低的很多,因为我也要正式的学习新的技术了。

来今天的正题:springboot实现图片防盗链 。可能看起来场景比较抽象,这里shigen给出之前的一个例子:对象存储服务的流量被盗刷了,当时官方给的解决方案包括我后来采用的方式就是referer的限制。

后来我的对象存储服务的流量就正常了。那今天我也是好奇这个用springboot怎么实现。在接下来的内容中,我将会着重分享我的设计。

首先了解一下Referer是什么吧。

什么是Referer

这里告别充满广告和垃圾网站的搜索引擎,直接GPT查询:

Referer(来源)是HTTP头部字段之一,用于指示客户端是从哪个页面跳转或发起请求的。当客户端(通常是浏览器)向服务器发送请求时,它会在HTTP头部中包含 Referer 字段,告诉服务器请求的来源页面的URL。这个字段可以帮助服务器了解请求的上下文和用户行为,有助于进行数据分析、安全检查等操作。

也就是说请求一个资源的时候,浏览器的请求头信息中会带上Referer字段标示出当下的请求的上一个请求是什么地方来的。

那基于这个原理,我们就可以设计出自己的防盗链。

java代码的设计

基础版

假设我们的springboot项目中可以直接通过http请求访问到某个路径下的资源。我们先这样的尝试吧。我们的配置肯定要实现WebMvcConfigurer这个接口,实现资源的映射。那我就直接展示我的代码:

less 复制代码
 @Configuration
 @EnableWebMvc
 @Slf4j
 public class MvcConfig implements WebMvcConfigurer {
 ​
     /**
      * 静态资源保存目录
      */
     public static final String FILE_RESOURCE_PATH = "file:" + System.getProperty("user.dir") + "/files/";
 ​
     @Override
     public void addResourceHandlers(ResourceHandlerRegistry registry) {
         log.error("静态资源保存目录:{}", FILE_RESOURCE_PATH);
         registry.addResourceHandler("/files/**")
                 .addResourceLocations(FILE_RESOURCE_PATH);
     }
 }

其实我们最终实现的文件路径就是项目根路径/files/文件夹的全部文件。

这样我们就可以通过http请求访问了。

但是,明显的我们的资源不是很安全。因为任意来源、任何人都可以访问到它。那我们限制来源的话,这个时候Referer就可以派上用场了。

升级版

升级版本,我们就需要统一拦截一下请求,看看请求头中是否包含Referer信息,且是我们约定的Referer。这样才能判定是正常的请求,进行流量的放行,否则的话就是要去拦截。

接下来先去设计一个拦截器:

java 复制代码
 @Slf4j
 @Component
 public class ResourceInterceptor extends HandlerInterceptorAdapter {
 ​
     @Resource
     private ReferConfig referConfig;
 ​
     /**
      * 匹配的文件种类
      */
     private static final String FILE_REGEX = "\.(html|css|js|jpg|jpeg|png|gif|bmp|svg|pdf|doc|docx|xls|xlsx|ppt|pptx|mp4|mov)$";
     private static final Pattern FILE_REGEX_PATTERN = Pattern.compile(FILE_REGEX, Pattern.CASE_INSENSITIVE);
 ​
 ​
     @Override
     public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
         // 获取请求的 URL
         String requestUrl = request.getRequestURL().toString();
         log.info("requestUrl:{}", requestUrl);
         // 检查是否是静态资源请求
         if (referConfig.isEnabled() && isStaticResource(requestUrl)) {
             // 检查防盗链策略
             if (!isValidReferer(request)) {
                 response.setStatus(HttpServletResponse.SC_FORBIDDEN);
                 return false;
             }
         }
         return true;
     }
 ​
     /**
      * 正则验证请求的资源
      *
      * @param url 请求资源
      * @return 是否匹配
      */
     private boolean isStaticResource(String url) {
         return FILE_REGEX_PATTERN.matcher(url).find();
     }
 ​
     /**
      * 检查 Referer 头,判断请求是否合法
      *
      * @param request 请求
      * @return 是否是合法请求
      */
     private boolean isValidReferer(HttpServletRequest request) {
         String referer = request.getHeader("Referer");
         return CollectionUtil.contains(referConfig.getAllowedOrigins(), referer);
     }
 }

具体的业务逻辑的验证都在注释里,这里需要注意:

  1. 关于Referer的配置最好写成动态的,便于后期的拓展
  2. 对于url的请求判断最好使用正则表达式,因为url本身请求的就是静态资源,但是后边带了其他的参数可能导致直接绕过

对于自定的配置类,shigen是这样的设计:

less 复制代码
 @Configuration
 @ConfigurationProperties(prefix = "refer")
 @Data
 public class ReferConfig {
     /**
      * 是否开启防盗链拦截
      */
     private boolean enabled;
     /**
      * 允许的Referer请求
      */
     private List<String> allowedOrigins;
 ​
 }

接下来就是配置到拦截器上。

typescript 复制代码
 @Configuration
 @EnableWebMvc
 @Slf4j
 public class MvcConfig implements WebMvcConfigurer {
 ​
     @Resource
     private UserArgumentResolver userArgumentResolver;
 ​
     @Resource
     private ResourceInterceptor resourceInterceptor;
 ​
     /**
      * 静态资源保存目录
      */
     public static final String FILE_RESOURCE_PATH = "file:" + System.getProperty("user.dir") + "/files/";
 ​
     @Override
     public void addArgumentResolvers(List<HandlerMethodArgumentResolver> resolvers) {
         resolvers.add(userArgumentResolver);
     }
 ​
     @Override
     public void addInterceptors(InterceptorRegistry registry) {
         registry.addInterceptor(resourceInterceptor).addPathPatterns("/**");
     }
 ​
     @Override
     public void addResourceHandlers(ResourceHandlerRegistry registry) {
         log.error("静态资源保存目录:{}", FILE_RESOURCE_PATH);
         registry.addResourceHandler("/files/**")
                 .addResourceLocations(FILE_RESOURCE_PATH);
     }
 }

待一切完成,我们这里再检查一下配置文件就可以正常的启动服务进行测试了。

yaml 复制代码
 refer:
   enabled: true
   allowed-origins:
     - http://www.shigen.com

此时,我们再次在浏览器中直接访问:

这时我们想要正常的访问,就得借助于接口测试工具了。

以上就是关于文件防盗链的设计分享,相关代码可参考:新增文件防盗链案例

与shigen一起,每天不一样!

相关推荐
向前看-3 小时前
验证码机制
前端·后端
超爱吃士力架4 小时前
邀请逻辑
java·linux·后端
AskHarries6 小时前
Spring Cloud OpenFeign快速入门demo
spring boot·后端
isolusion7 小时前
Springboot的创建方式
java·spring boot·后端
zjw_rp8 小时前
Spring-AOP
java·后端·spring·spring-aop
TodoCoder8 小时前
【编程思想】CopyOnWrite是如何解决高并发场景中的读写瓶颈?
java·后端·面试
凌虚9 小时前
Kubernetes APF(API 优先级和公平调度)简介
后端·程序员·kubernetes
机器之心10 小时前
图学习新突破:一个统一框架连接空域和频域
人工智能·后端
.生产的驴10 小时前
SpringBoot 对接第三方登录 手机号登录 手机号验证 微信小程序登录 结合Redis SaToken
java·spring boot·redis·后端·缓存·微信小程序·maven
顽疲10 小时前
springboot vue 会员收银系统 含源码 开发流程
vue.js·spring boot·后端