Nginx學習之如何搭建檔案防盜鏈服務
前言
大家都知道現在很多站點下載資料都是要收費的,無論是積分還是金幣,想免費只能說很少很少了,那麼這些網站是如何做到資源防盜鏈的呢?
這裡推薦一款比較容易上手的神器,Nginx本身提供了secure_link來完成防盜鏈功能,可以給伺服器檔案連結新增時間戳和校驗碼,從而保護伺服器檔案不被任意下載盜用。
時序圖
Nginx配置
如何安裝Nginx這裡不再贅述,安裝的時候記得開啟ngx_http_secure_link_module即可。
./configure --with-http_secure_link_module #編譯nginx時加入安裝完成檢測:
nginx -V如果出現以下說明配置成功:
configure arguments: --with-http_secure_link_module --prefix=/usr/local/nginx --with-http_stub_status_module例項配置
server { listen 80; server_name download.52itstyle.com; charset utf-8; location / { #這裡配置了2個引數一個是md5,一個是expires secure_link $arg_md5,$arg_expires; #md5的雜湊格式為 secret+url+expires,expires為時間戳單位s,url為請求地址 secure_link_md5 52itstyle$uri$arg_e; #這裡我們的md5是我們按照secure_link_md5的方式計算的雜湊,secure_link會比對它計算的雜湊值是否與我們的md5引數一致 if ($secure_link = "") { #資源不存在或雜湊比對失敗 return 402; } if ($secure_link = "0") { #失效超時 return 405; } #重新命名檔名 add_header Content-Disposition "attachment;filename=$arg_f"; alias /data/site/down.52itstyle.com/; } error_page 500 502 503 504 /50x.html; error_page 402 405 /40x.html; location = /50x.html { root html; } location = /40x.html { root html; } }
引數詳解
secure_link
語法 : secure_link expression; 預設值: 無 配置段:http, server, location
expression由校驗值和過期時間組成,其中校驗值將會與 secure_link_md5中的指定引數的MD5雜湊值進行對比。
如果兩個值不一致,$secure_link變數的值是空;如果兩個值一致,則進行過期檢查;如果過期了,則$secure_link變數值是0;如果沒過期,則為1。
如果連結是有時效性的,那麼過期時間用時間戳進行設定,在MD5雜湊值後面宣告,用逗號隔開。如果沒有設定過期時間,該連結永久有效。
secure_link_md5
語法 : secure_link_md5 expression; 預設值: 無 配置段:http, server, location
expression指定計算md5雜湊值的引數,該md5值將會和url中傳遞的md5值進行對比校驗。expression一般包含uri(如demo.com/s/link uri則為/s/link)以及加密 金鑰secret,如果該連結具有時效,則expression需包含$secure_link_expires,expression還可以加入客戶端資訊,如訪問IP,瀏覽器版本資訊等。
Java後端配置
案例,僅供參考:
import org.apache.commons.codec.binary.Base64;
import org.apache.commons.codec.digest.DigestUtils;
/**
* 生成加密連線
*/
public class SecureLink {
private static String site = "https://down.52itstyle.com/";
private static String secret = "52itstyle";
public static String createLink(String path,String fileName){
String time = String.valueOf((System.currentTimeMillis() / 1000) + 300); // 5分鐘有效
String md5 = Base64.encodeBase64URLSafeString(DigestUtils.md5(secret + path + time));
String url = site + path + "?md5=" + md5 + "&expires=" + time + "&f="+fileName;
return url;
}
public static void main(String[] args) {
//https://down.52itstyle.com/2018101025689452.pdf?md5=FnDYyFzCooI9q8sh1Ffkxg&expires=1539847995&f=分散式秒殺架構.pdf
System.out.println(createLink("2018101025689452.pdf","分散式秒殺架構.pdf"));
}
}總結
整個加密過程有點對稱加密的意思,後端根據金鑰生成加密地址,Nginx代理伺服器進行解密校驗,如果通過則允許下載。
測試中還發現一個問題,生成的連結有時會報超時失效,可能是由於後端伺服器和下載伺服器時間不統一導致的,同步更下系統時間即可,
如果有做積分下載服務的小夥伴這的確是一個不錯的選擇,需要注意的是一定要不定期的更換金鑰,防止洩露。