[Nginx]用Nginx实现与应用结合的访问控制 - 防盗链

应用场景：图片等资源需要设置权限，如：只有认证过的用户才能访问自己的图片。

解决办法：使用Nginx的防盗链模块http_secure_link可以实现，该模块默认情况下不包含，故在安装时要加上--with-http_secure_link_module

该模块根据两个参数控制权限访问，一个是过期时间（即该链接在这个时间之前可访问，过期后无法访问），该参数主要出于安全考虑。

另一个是通过md5算法算出来的KEY，一般通过uri计算

举例：

    server {
        listen       80;
        server_name  192.168.1.22;

        root /home/search/upload/portal_upload/user;
        location / {
            index  index.html index.htm;
        }

        location /img/dossier/ {
            secure_link $arg_st,$arg_e;
            secure_link_md5 [email protected]$uri$arg_e;

            if ($secure_link = "") {
                return 403;
            }
            if ($secure_link = "0") {
                return 403;
            }

            rewrite ^/img/dossier/(.*)$ /img/dossier/$1 break;
        }
}

上面的secure_link定义了控制权限的两个参数（分别是st, e）

其中e就是上述的过期时间，建议e = 当前时间 + 有效期限（5分钟）

例如：

e = date +%s -d "December 22, 2014 12:22:03"

= 1419222123

st的计算公式如下：md5(PKEY,uri,e)，其中PKEY是自定义的常量

例如：

st = php -r ‘print str_replace("=", "",strtr(base64_encode(md5("[email protected]/img/dossier/16/641fd565-ec87-4cbe-b4ae-7eedba41bb0e.jpg1419222123",TRUE)),"+/","-_")) . "\n";‘

=13c9kZrZT1qnNgpG4Vtksw

效果如下：

http://192.168.1.22/img/dossier/16/641fd565-ec87-4cbe-b4ae-7eedba41bb0e.jpg --不可访问

http://192.168.1.22/img/dossier/16/641fd565-ec87-4cbe-b4ae-7eedba41bb0e.jpg?st=13c9kZrZT1qnNgpG4Vtksw&e=1419222123 --过期前可访问，过期后不可访问

http://192.168.1.22/img/headpic/13/13_140x140.jpg --不在dossier下面的图片没有访问限制

OK，到此为此我们基本实现的基于应用的权限控制，且方法灵活，因为e和st的生成由应用程序来控制，能进行任意的修改和变动，而架构不受影响。

[Nginx]用Nginx实现与应用结合的访问控制 - 防盗链,布布扣,bubuko.com

时间： 2024-10-25 05:52:33

[Nginx]用Nginx实现与应用结合的访问控制 - 防盗链的相关文章

[Nginx]用Nginx实现与应用结合的訪问控制 - 防盗链

应用场景:图片等资源须要设置权限,如:仅仅有认证过的用户才干訪问自己的图片. 解决的方法:使用Nginx的防盗链模块http_secure_link能够实现,该模块默认情况下不包括.故在安装时要加上--with-http_secure_link_module 该模块依据两个參数控制权限訪问,一个是过期时间(即该链接在这个时间之前可訪问,过期后无法訪问),该參数主要出于安全考虑. 还有一个是通过md5算法算出来的KEY,一般通过uri计算举例: server { listen 80; serve

Nginx 之四： Nginx服务器的rewrite、全局变量、重定向和防盗链相关功能

一:Nginx 后端服务器组的配置: 1.upstream: 用于设置后端服务器组的主要指令,upstream类似于之前的server块或http块,用法如下: upstreame Myserver{ #ip_hash; #least_conn: #fair; #hash $request_uri; #hash_method crc32; server 192.168.0.2:8080 #weight 2 max_fails 3 fail_timeout 60; 192.168.0.3:8080

Nginx服务优化（七）网页压缩与防盗链

配置Nginx实现网页压缩功能 Nginx的ngx_http_gzip_module压缩模块提供对文件内容压缩的功能,允许Nginx服务器将输出内容在发送客户端之前进行压缩,以节约网站带宽,提升用户的访问体验,默认已经安装.可在配置文件中加入相应的压缩功能参数对压缩性能进行优化. 压缩功能参数讲解 gzip on:开启gzip压缩输出 gzip_min_length 1k:用于设置允许压缩的页面最小字节数 gzip_buffers 4 16k:表示申请4个单位为16k的内存作为压缩结果流缓存,默

Nginx配置：防盗链、访问控制、解析PHP以及代理

一.Nginx防盗链防盗链是指一个网站的资源(图片或附件)未经允许在其它网站提供浏览和下载,尤其热门资源的盗链,对网站带宽的消耗非常大,设置防盗链以节省资源. 1.修改虚拟主机配置文件 [[email protected] vhost]# vim linuxtest.conf server { listen 80; server_name linuxtest.com; index index.html index.htm index.php; root /data/wwwroot/linuxt

92.Nginx配置：防盗链、访问控制、解析PHP以及代理

linux下Nginx配置文件(nginx.conf)配置设置详解（windows用phpstudy集成）

linux备份nginx.conf文件举例: cp /usr/local/nginx/nginx.conf /usr/local/nginx/nginx.conf-20171111(日期) 在进程列表里面找master进程,它的编号就是主进程号. ps -ef | grep nginx 查看进程 cat /usr/local/nginx/nginx.pid 每次修改完nginx文件都要重新加载配置文件linux命令: /usr/local/nginx -t //验证配置文件是否合法若ngin

LNMP - Nginx配置防盗链

配置防盗链的目的:当别的网站盗用了我们网站的图片,视频等文件资源,放到他们自己的网站上去,一方面这属于无耻的盗窃行为,另一方面在并发量很大的情况下势必会无端增加我们网站的流量,增加服务器的负载. 解决办法:与Apache一样,Nginx也可以限制referer # cd /usr/local/nginx/conf/vhosts # vim test.conf server { listen 80; server_name www.test.com; index index.html index.

深刻理解Nginx之Nginx完整安装

1. Nginx安装 1.1预先准备 CentOS系统下,安装Nginx的库包依赖.安装命令如下: sudo yum groupinstall "DevelopmentTools" sudo yum install pcre pcre-devel sudo yum install zlib zlib-devel yum install perl-ExtUtils-Embed sudo yum install openssl openssl-devel 1.2 安装最重要的特性和基

Nginx实现图片防盗链(referer指令)

什么是图片盗链每张图片在浏览器中都有对应的图片地址,在浏览器中输入这个地址是可以直接拿到图片. 图片盗链,就是盗用者在他的站上需要显示我们的图片,他没有把图片拿下来,放到他的服务器上, 而是直接就用我们的,图片地址,来请求到我们的服务器来拿图片,流量产生在我们这边. referer referer指令通过检测访问图片的来源,来做出一些控制. 图片访问的来源通过谷歌/百度访问通过浏览器直接访问本站点的访问来自非法的域名访问 referer nginx 模块 ngx_http_refe