nginx-file-server

CXH7282025-11-16 11:38

使用 Nginx 构建安全可控的文件下载服务器

摘要 :本文介绍如何使用 Nginx + HTTPS + Basic Auth 构建一套轻量、安全、可扩展的文件下载服务器,替代传统 FTP,支持多用户目录隔离与加密访问。

一、背景与需求

传统的 FTP 协议已逐渐被弃用,现代浏览器不再支持 ftp:// 访问方式。

如果你想在公网提供文件下载服务(如科研数据、日志、镜像等),可以使用 Nginx 构建一个 HTTPS 文件下载服务器。

目标:

  • 文件大(1GB+)可断点续传;
  • 用户访问受控;
  • 超级用户可查看所有目录;
  • 部署与扩展简单。

二、系统架构

模块 功能说明
Nginx 文件目录索引与下载
HTTPS 加密传输
Basic Auth 简易身份认证
Per-directory ACL 用户仅能访问同名目录

三、目录结构

复制代码 
/data/downloads/
├── beijing/
├── henan/
├── shanxi/
├── shanghai/
└── shandong/

四、用户认证

bash 复制代码 
yum install -y httpd-tools
mkdir -p /etc/nginx/passwd
htpasswd -c /etc/nginx/passwd/users.htpasswd beijing
htpasswd /etc/nginx/passwd/users.htpasswd henan
htpasswd /etc/nginx/passwd/users.htpasswd admin

五、生成 HTTPS 自签证书

bash 复制代码 
mkdir -p /etc/nginx/certs
openssl req -x509 -nodes -days 365   -newkey rsa:2048   -keyout /etc/nginx/certs/self.key   -out /etc/nginx/certs/self.crt   -subj "/C=CN/ST=Henan/L=Zhengzhou/O=Personal/OU=Dev/CN=files.example.com"

六、Nginx 配置文件(核心)

nginx 复制代码 
server {
  listen 443 ssl;
  http2 on;
  server_name files.example.com;

  ssl_certificate     /etc/nginx/certs/self.crt;
  ssl_certificate_key /etc/nginx/certs/self.key;

  root /data/downloads;
  auth_basic_user_file /etc/nginx/passwd/users.htpasswd;

  location ~ ^/(?!relogin(?:/|$))[^/]+(?:/|$) {
      auth_basic "dir:$req_user";
      if ($deny_after_auth) {
          add_header WWW-Authenticate 'Basic realm="dir:$req_user", charset="UTF-8"' always;
          return 401;
      }
      autoindex on;
      add_header Accept-Ranges bytes;
      sendfile on; aio threads; directio 8m; tcp_nopush on;
  }

  location = / {
      if ($is_super = 0) { return 403; }
      autoindex on;
  }

  location ^~ /relogin {
      auth_basic off;
      default_type text/plain;
      add_header WWW-Authenticate 'Basic realm="Relogin", charset="UTF-8"' always;
      return 401;
  }

  location / { return 404; }
}

七、权限控制映射(00-auth-maps.conf

nginx 复制代码 
map $uri $req_user {
    default "";
    ~^/([^/]+)(?:/|$) $1;
}

map $remote_user $is_authed {
    "" 0;
    default 1;
}

map "$remote_user:$req_user" $self_match {
    ~^([^:]+):$ 1;
    default 0;
}

map $remote_user $is_super {
    default 0;
    admin 1;
    root 1;
}

map "$is_authed:$self_match:$is_super" $deny_after_auth {
    ~^0:.*:.*$ 0;
    ~^1:1:.*$ 0;
    ~^1:.*:1$ 0;
    default 1;
}

八、测试与验证

bash 复制代码 
nginx -t && nginx -s reload
curl -I https://files.example.com/beijing/
curl -I -u beijing:密码 https://files.example.com/beijing/
curl -I -u henan:密码 https://files.example.com/beijing/

九、最终效果

✅ 支持大文件下载

✅ 支持目录索引

✅ 各用户仅能访问自目录

/relogin 可强制切换账号

相关推荐
JIngJaneIL2 小时前
就业|高校就业|基于ssm+vue的高校就业信息系统的设计与实现(源码+数据库+文档)
java·前端·数据库·vue.js·spring boot·毕设·高校就业
一 乐2 小时前
社区互助|社区交易|基于springboot+vue的社区互助交易系统(源码+数据库+文档)
java·数据库·vue.js·spring boot·后端·小区互助系统
q***57742 小时前
Spring Boot 实战:轻松实现文件上传与下载功能
java·数据库·spring boot
寺中人2 小时前
Nginx安全策略
运维·nginx
Myosotis5132 小时前
DNS练习
linux·运维·服务器
失散132 小时前
分布式专题——57 如何保证MySQL数据库到ES的数据一致性
java·数据库·分布式·mysql·elasticsearch·架构
YJlio3 小时前
进程和诊断工具速查手册(8.13):VMMap / DebugView / LiveKd / Handle / ListDLLs 一页式现场排障清单
数据库·笔记·学习
wzyannn3 小时前
Linux字符设备驱动开发详细教程(简单字符设备驱动框架)
linux·运维·驱动开发·嵌入式
whn19773 小时前
达梦的dbms_lock在DSC中能用吗
数据库
热门推荐
01GitHub 镜像站点02BongoCat - 跨平台键盘猫动画工具03UV安装并设置国内源04安娜的档案(Anna’s Archive) 镜像网站/国内最新可访问入口(持续更新)05Linux下V2Ray安装配置指南06jdk21下载、安装(Windows、Linux、macOS)07综合整理:pdf预览显示:你尝试预览的文件可能对你的计算机有害。如果你信任此文件以及其来源,请打开此文件以看其内容,如何解决以正常预览文件08使用国内镜像网站在线下载安装Qt(解决官网慢的问题)——Qt092025 最新教程:注册并切换到美区 Apple ID10MiniMax-M2 全方位配置手册:覆盖 Claude Code, Cursor, Cline 等工具