nginx-file-server

CXH7282025-11-16 11:38

使用 Nginx 构建安全可控的文件下载服务器

摘要 :本文介绍如何使用 Nginx + HTTPS + Basic Auth 构建一套轻量、安全、可扩展的文件下载服务器,替代传统 FTP,支持多用户目录隔离与加密访问。

一、背景与需求

传统的 FTP 协议已逐渐被弃用,现代浏览器不再支持 ftp:// 访问方式。

如果你想在公网提供文件下载服务(如科研数据、日志、镜像等),可以使用 Nginx 构建一个 HTTPS 文件下载服务器。

目标:

  • 文件大(1GB+)可断点续传;
  • 用户访问受控;
  • 超级用户可查看所有目录;
  • 部署与扩展简单。

二、系统架构

模块 功能说明
Nginx 文件目录索引与下载
HTTPS 加密传输
Basic Auth 简易身份认证
Per-directory ACL 用户仅能访问同名目录

三、目录结构

复制代码 
/data/downloads/
├── beijing/
├── henan/
├── shanxi/
├── shanghai/
└── shandong/

四、用户认证

bash 复制代码 
yum install -y httpd-tools
mkdir -p /etc/nginx/passwd
htpasswd -c /etc/nginx/passwd/users.htpasswd beijing
htpasswd /etc/nginx/passwd/users.htpasswd henan
htpasswd /etc/nginx/passwd/users.htpasswd admin

五、生成 HTTPS 自签证书

bash 复制代码 
mkdir -p /etc/nginx/certs
openssl req -x509 -nodes -days 365   -newkey rsa:2048   -keyout /etc/nginx/certs/self.key   -out /etc/nginx/certs/self.crt   -subj "/C=CN/ST=Henan/L=Zhengzhou/O=Personal/OU=Dev/CN=files.example.com"

六、Nginx 配置文件(核心)

nginx 复制代码 
server {
  listen 443 ssl;
  http2 on;
  server_name files.example.com;

  ssl_certificate     /etc/nginx/certs/self.crt;
  ssl_certificate_key /etc/nginx/certs/self.key;

  root /data/downloads;
  auth_basic_user_file /etc/nginx/passwd/users.htpasswd;

  location ~ ^/(?!relogin(?:/|$))[^/]+(?:/|$) {
      auth_basic "dir:$req_user";
      if ($deny_after_auth) {
          add_header WWW-Authenticate 'Basic realm="dir:$req_user", charset="UTF-8"' always;
          return 401;
      }
      autoindex on;
      add_header Accept-Ranges bytes;
      sendfile on; aio threads; directio 8m; tcp_nopush on;
  }

  location = / {
      if ($is_super = 0) { return 403; }
      autoindex on;
  }

  location ^~ /relogin {
      auth_basic off;
      default_type text/plain;
      add_header WWW-Authenticate 'Basic realm="Relogin", charset="UTF-8"' always;
      return 401;
  }

  location / { return 404; }
}

七、权限控制映射(00-auth-maps.conf

nginx 复制代码 
map $uri $req_user {
    default "";
    ~^/([^/]+)(?:/|$) $1;
}

map $remote_user $is_authed {
    "" 0;
    default 1;
}

map "$remote_user:$req_user" $self_match {
    ~^([^:]+):$ 1;
    default 0;
}

map $remote_user $is_super {
    default 0;
    admin 1;
    root 1;
}

map "$is_authed:$self_match:$is_super" $deny_after_auth {
    ~^0:.*:.*$ 0;
    ~^1:1:.*$ 0;
    ~^1:.*:1$ 0;
    default 1;
}

八、测试与验证

bash 复制代码 
nginx -t && nginx -s reload
curl -I https://files.example.com/beijing/
curl -I -u beijing:密码 https://files.example.com/beijing/
curl -I -u henan:密码 https://files.example.com/beijing/

九、最终效果

✅ 支持大文件下载

✅ 支持目录索引

✅ 各用户仅能访问自目录

/relogin 可强制切换账号

相关推荐
倔强的石头_1 天前
kingbase备份与恢复实战(二)—— sys_dump库级逻辑备份与恢复(Windows详细步骤)
数据库
闲云一鹤2 天前
nginx 快速入门教程 - 写给前端的你
前端·nginx·前端工程化
碳基沙盒2 天前
OpenClaw 多 Agent 配置实战指南
运维
jiayou643 天前
KingbaseES 实战:深度解析数据库对象访问权限管理
数据库
李广坤4 天前
MySQL 大表字段变更实践(改名 + 改类型 + 改长度)
数据库
爱可生开源社区5 天前
2026 年,优秀的 DBA 需要具备哪些素质?
数据库·人工智能·dba
蝎子莱莱爱打怪5 天前
Centos7中一键安装K8s集群以及Rancher安装记录
运维·后端·kubernetes
随逸1775 天前
《从零搭建NestJS项目》
数据库·typescript
何中应5 天前
Nginx转发请求错误
前端·后端·nginx
热门推荐
01GitHub 镜像站点02OpenClaw 使用和管理 MCP 完全指南03OpenClaw + 飞书(Feishu)环境搭建指南04Claude Code + GLM4.7 避坑指南:解决 Unable to connect to Anthropic services05小黑课堂计算机二级WPSoffice题库软件下载安装教程(2026年3月最新版)06Clawdbot部署教程:解决‘gateway token missing’授权问题的完整步骤07OpenClaw优化飞书API 额度已耗尽问题08Window 10部署openclaw报错node.exe : npm error code 12809【OpenClaw 本地实战 Ep.3】突破瓶颈:强制修改 openclaw.json 解锁 32k 上下文记忆10OpenClaw大龙虾机器人完整安装教程