NGINX 权限控制文件预览和下载的实现原理


Posted in Servers onJanuary 18, 2022

@date: 2020-07-31 06:00

基于 Nginx + Java(SpringBoot) 实现带权限验证的静态文件服务器,支持文件下载、PDF预览和图片预览

需要注意的是,无需权限判断的图片不建议使用此方法,大量的图片访问会增加后台服务器的处理压力。

一、实现原理

本质上是使用了X-Sendfile功能来实现,X-Sendfile 是一种将文件下载请求重定向到Web 服务器处理的机制,该Web服务器只需负责处理请求(例如权限验证),而无需执行读取文件并发送给用户的任务。

X-Sendfile可显著提高后台服务器的性能,消除了后端程序既要读文件又要处理发送的压力,尤其是处理大文件下载的情形下!

Nginx也具有此功能,但实现方式略有不同。在Nginx中,此功能称为X-Accel-Redirect

用户请求文件,权限控制时序图:

NGINX 权限控制文件预览和下载的实现原理

二、实现步骤

1. NGINX配置

1、静态文件通过file_server访问,会被设置为internal,即只能内部访问不允许外部直接访问。
2、所有静态资源请求均被重定向到Java后台,经过权限验证后才能访问。

# 文件下载服务
location ^~ /file_server {
    # 内部请求(即一次请求的Nginx内部请求),禁止外部访问,重要。
    internal;
    # 文件路径
    alias U:/file/private/;
    limit_rate 200k;
    # 浏览器访问返回200,然后转由后台处理
    error_page 404 =200 @backend;
}
# 文件下载鉴权
location @backend {
    # 去掉访问路径中的 /file_server/,然后定义新的请求地址。
    rewrite ^/file_server/(.*)$ /uecom/attach/$1 break;
    # 这里的url后面不可以再拼接地址
    proxy_pass http://192.168.12.68:9023;
    proxy_redirect   off;
    proxy_set_header Host $host;
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}

2. JAVA SPRINGBOOT 后台权限验证

用户请求只需要传递附件参数和身份token,不再需要传递服务器的真实路径。例如:

http://192.168.12.68:9022/file_server/preview_file?id=13e9d1887b46455a96842c503c2434cb&access_token=eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJ3ZWJfMSIsImV4cCI6MTU5NjE1NzkxOH0.eR4yYlDjIMXZmNNTq2gdghkYhw6I30NgZlvuPUmRoyk

2.1 权限校验文件下载

response.setHeader("X-Accel-Redirect", "/file_server" + attach.getAttachPath()); ,重点是X-Accel-Redirect配置返回服务器文件的真实路径,该路径返回后由Nginx内部请求处理,不会暴露给请求用户。

/**
 * @describe 使用token鉴权的文件下载
 * @author momo
 * @date 2020-7-30 13:44
 * @param id 文件唯一编码 uuid
 * @return void
 */
@GetMapping("/download_file")
public void downloadFile(@NotNull String id) throws IOException {
    HttpServletResponse response = super.getHttpServletResponse();
    // 通过唯一编码查询附件
    Attach attach = attachService.getById(id);
    if (attach == null) {
        // 附件不存在,跳转404
        this.errorPage(404);
        return;
    }
 
     // 从访问token中获取用户id。 token也可以通过 参数 access_token 传递
     Integer userId = UserKit.getUserId();
     if (userId == null || ) {
        // 无权限访问,跳转403
         this.errorPage(403);
         return;
     }
     
    // 已被授权访问
    // 文件下载
    response.setHeader("Content-Disposition", "attachment; filename=\"" + new String(attach.getAttachName().getBytes("GBK"), "iso-8859-1") + "\"");
    // 文件以二进制流传输
    response.setHeader("Content-Type", "application/octet-stream;charset=utf-8");
    // 返回真实文件路径交由 Nginx 处理,保证前端无法看到真实的文件路径。
    // 这里的 "/file_server" 为 Nginx 中配置的下载服务名
    response.setHeader("X-Accel-Redirect", "/file_server" + attach.getAttachPath());
    // 限速,单位字节,默认不限
    // response.setHeader("X-Accel-Limit-Rate","1024");
    // 是否使用Nginx缓存,默认yes
    // response.setHeader("X-Accel-Buffering","yes");
	response.setHeader("X-Accel-Charset", "utf-8");
    
    // 禁止浏览器缓存
    response.setHeader("Pragma", "No-cache");
    response.setHeader("Cache-Control", "No-cache");
    response.setHeader("Expires", "0");
}

后台可配置属性:

Content-Type: 
Content-Disposition: : 
Accept-Ranges: 
Set-Cookie: 
Cache-Control: 
Expires: 
 
# 设置文件真实路径的URI,默认void
X-Accel-Redirect: void
# 限制下载速度,单位字节。默认不限速度off。
X-Accel-Limit-Rate: 1024|off
# 设置此连接的代理缓存,将此设置为no将允许适用于Comet和HTTP流式应用程序的无缓冲响应。将此设置为yes将允许响应被缓存。默认yes。
X-Accel-Buffering: yes|no
# 如果已传输过的文件被缓存下载,设置Nginx文件缓存过期时间,单位秒,默认不过期 off。
X-Accel-Expires: off|seconds
# 设置文件字符集,默认utf-8。
X-Accel-Charset: utf-8

2.2 权限校验文件预览

文件下载和文件预览本质上没有区别,只是response返回时告诉浏览器执行下载还是执行打开预览。即response.setHeader("Content-Disposition", "inline; filename="xxx.pdf");, 然后修改返回数据的格式Content-Type即可。

Content-Disposition 响应头指示回复的内容该以何种形式展示,是以内联inline)的形式(即网页或者页面的一部分),还是以附件attachment)的形式下载并保存到本地。

/**
 * @describe 使用token鉴权的文件预览(支持pdf和图片)
 * @author momo
 * @date 2020-7-30 13:44
 * @param id 文件唯一编码 uuid
 * @return void
 */
@GetMapping("/preview_file")
public void previewFile(@NotNull String id) throws IOException {
    HttpServletResponse response = super.getHttpServletResponse();
    // 通过唯一编码查询附件
	Attach attach = attachService.getById(id);
    if (attach == null) {
        // 附件不存在,跳转404
        this.errorPage(404);
        return;
    }
 
     // 从访问token中获取用户id。 token也可以通过 参数 access_token 传递
      Integer userId = UserKit.getUserId();
      if (userId == null || ) {
         // 无权限访问,跳转403
          this.errorPage(403);
          return;
      }
 
    // 已被授权访问
    // 文件直接显示
    response.setHeader("Content-Disposition", "inline; filename=\"" + new String(attach.getAttachName().getBytes("GBK"), "iso-8859-1") + "\"");
    if ("pdf".equals(attach.getAttachType().toLowerCase())) {
        // PDF
        response.setHeader("Content-Type", "application/pdf;charset=utf-8");
    } else {
        // 图片
        response.setHeader("Content-Type", "image/*;charset=utf-8");
    }
    // 返回真实文件路径交由 Nginx 处理,保证前端无法看到真实的文件路径。
    // 这里的 "/file_server" 为 Nginx 中配置的下载服务名
    response.setHeader("X-Accel-Redirect", "/file_server" + attach.getAttachPath());
    // 浏览器缓存 1 小时
    response.setDateHeader("Expires", System.currentTimeMillis() + 1000 * 60 * 60);
}

三、扩展功能

1. 下载统计、访问日志

// 自由发挥

2. 下载限速

// 限速,单位字节,默认不限
response.setHeader("X-Accel-Limit-Rate","1024");

3. 防盗链

//判断 Referer
String referer = request.getHeader("Referer");
if (referer == null || !referer.startsWith("https://www.itmm.wang")) {
    // 无权限访问,跳转403
    this.errorPage(403);
    return;
}

4. X-SENDFILE

X-Sendfile是一项功能,每个代理服务器都有自己不同的实现。

Web Server Header
Nginx X-Accel-Redirect
Apache X-Sendfile
Lighttpd X-LIGHTTPD-send-file
Squid X-Accelerator-Vary

使用 X-SendFile 的缺点是你失去了对文件传输机制的控制。例如如果你希望在完成文件下载后执行某些操作,比如只允许用户下载文件一次,这个 X-Sendfile 是没法做到的,因为请求交给了后台,你并不知道下载是否成功。

参考资料

  1. X-Sendfile-从Web应用程序有效地提供大型静态文件
  2. Nginx-X-Accel-Redirect
  3. Nginx -XSendfile
  4. Content-Disposition
  5. Http Content-Type

到此这篇关于NGINX 权限控制文件预览和下载的文章就介绍到这了,更多相关nginx文件预览下载内容请搜索三水点靠木以前的文章或继续浏览下面的相关文章希望大家以后多多支持三水点靠木!

Servers 相关文章推荐
nginx配置ssl实现https的方法示例
Mar 31 Servers
nginx里的rewrite跳转的实现
Mar 31 Servers
Nginx服务器如何设置url链接
Mar 31 Servers
Nginx URL重写rewrite机制原理及使用实例
Apr 01 Servers
解决xampp安装后Apache无法启动
Mar 21 Servers
Nginx速查手册及常见问题
Apr 07 Servers
如何通过cmd 连接阿里云服务器
Apr 18 Servers
centos7安装mysql5.7经验记录
May 02 Servers
Nginx HTTP跳转至HTTPS
May 15 Servers
关于windows server 2012 DC 环境 重启后蓝屏代码:0xc00002e2的问题
May 25 Servers
win server2012 r2服务器共享文件夹如何设置
Jun 21 Servers
Nginx配置使用详解
Jul 07 Servers
Nginx虚拟主机的搭建的实现步骤
Jan 18 #Servers
Nginx下SSL证书安装部署步骤介绍
Dec 06 #Servers
教你快速构建一个基于nginx的web集群项目
Nov 27 #Servers
Linux安装apache服务器的配置过程
Nov 27 #Servers
Nginx配置https的实现
nginx内存池源码解析
苹果M1芯片安装nginx 并且部署vue项目步骤详解
You might like
【动漫杂谈】关于《请在T台上微笑》
2020/03/03 日漫
Bo-Blog专用的给Windows服务器的IIS Rewrite程序
2007/08/26 PHP
JQuery select标签操作代码段
2010/05/16 Javascript
eval与window.eval的差别分析
2011/03/17 Javascript
javascript算法学习(直接插入排序)
2011/04/12 Javascript
浅析javascript操作 cookie对象
2014/12/26 Javascript
JavaScript中的some()方法使用详解
2015/06/09 Javascript
jQuery实现简洁的轮播图效果实例
2016/09/07 Javascript
浅谈jquery中next与siblings的区别
2016/10/27 Javascript
一篇文章搞定JavaScript类型转换(面试常见)
2017/01/21 Javascript
angularjs中的$eval方法详解
2017/04/24 Javascript
NodeJS、NPM安装配置步骤(windows版本) 以及环境变量详解
2017/05/13 NodeJs
利用node.js爬取指定排名网站的JS引用库详解
2017/07/25 Javascript
全选复选框JavaScript编写小结(附代码)
2017/08/16 Javascript
Node.js命令行/批处理中如何更改Linux用户密码浅析
2018/07/22 Javascript
vue elementui form表单验证的实现
2018/11/11 Javascript
如何解决webpack-dev-server代理常切换问题
2019/01/09 Javascript
在Vue mounted方法中使用data变量详解
2019/11/05 Javascript
three.js 利用uv和ThreeBSP制作一个快递柜功能
2020/08/18 Javascript
用Python中的wxPython实现最基本的浏览器功能
2015/04/14 Python
Python记录详细调用堆栈日志的方法
2015/05/05 Python
Python使用arrow库优雅地处理时间数据详解
2017/10/10 Python
破解安装Pycharm的方法
2018/10/19 Python
python用plt画图时,cmp设置方法
2018/12/13 Python
pytorch实现focal loss的两种方式小结
2020/01/02 Python
Python-openCV读RGB通道图实例
2020/01/17 Python
使用python-pptx包批量修改ppt格式的实现
2020/02/14 Python
Selenium启动Chrome时配置选项详解
2020/03/18 Python
sqlalchemy实现时间列自动更新教程
2020/09/02 Python
Tostadora意大利:定制T恤
2019/04/08 全球购物
运动会入场词200字
2014/02/15 职场文书
中学生寄语大全
2014/04/03 职场文书
医院节能减排方案
2014/06/13 职场文书
2015年护士长个人工作总结
2015/04/24 职场文书
话题作文之自信作文
2019/11/15 职场文书
nginx配置虚拟主机的详细步骤
2021/07/21 Servers