快捷導(dǎo)航

NGINX?權(quán)限控制文件預(yù)覽和下載的實(shí)現(xiàn)原理

更新時(shí)間：2022年01月12日 10:15:06 作者：隔壁老瓦

我們知道,使用nginx作為文件下載服務(wù)器,可以極大地降低對(duì)后端Java服務(wù)器的負(fù)載沖擊,但是nginx本身并不提供授權(quán)控制，這下該如何操作呢，下面小編給大家?guī)砹薔GINX?權(quán)限控制文件預(yù)覽和下載的實(shí)現(xiàn)原理，感興趣的朋友跟隨小編一起看看吧

一、實(shí)現(xiàn)原理

本質(zhì)上是使用了X-Sendfile功能來實(shí)現(xiàn)，X-Sendfile 是一種將文件下載請(qǐng)求重定向到Web 服務(wù)器處理的機(jī)制，該Web服務(wù)器只需負(fù)責(zé)處理請(qǐng)求（例如權(quán)限驗(yàn)證），而無需執(zhí)行讀取文件并發(fā)送給用戶的任務(wù)。

X-Sendfile可顯著提高后臺(tái)服務(wù)器的性能，消除了后端程序既要讀文件又要處理發(fā)送的壓力，尤其是處理大文件下載的情形下！

Nginx也具有此功能，但實(shí)現(xiàn)方式略有不同。在Nginx中，此功能稱為X-Accel-Redirect。

用戶請(qǐng)求文件，權(quán)限控制時(shí)序圖：

二、實(shí)現(xiàn)步驟

1. NGINX配置

1、靜態(tài)文件通過file_server訪問，會(huì)被設(shè)置為internal，即只能內(nèi)部訪問不允許外部直接訪問。
2、所有靜態(tài)資源請(qǐng)求均被重定向到Java后臺(tái)，經(jīng)過權(quán)限驗(yàn)證后才能訪問。

# 文件下載服務(wù)
location ^~ /file_server {
    # 內(nèi)部請(qǐng)求（即一次請(qǐng)求的Nginx內(nèi)部請(qǐng)求），禁止外部訪問，重要。
    internal;
    # 文件路徑
    alias U:/file/private/;
    limit_rate 200k;
    # 瀏覽器訪問返回200，然后轉(zhuǎn)由后臺(tái)處理
    error_page 404 =200 @backend;
}
# 文件下載鑒權(quán)
location @backend {
    # 去掉訪問路徑中的 /file_server/，然后定義新的請(qǐng)求地址。
    rewrite ^/file_server/(.*)$ /uecom/attach/$1 break;
    # 這里的url后面不可以再拼接地址
    proxy_pass http://192.168.12.68:9023;
    proxy_redirect   off;
    proxy_set_header Host $host;
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}

2. JAVA SPRINGBOOT 后臺(tái)權(quán)限驗(yàn)證

用戶請(qǐng)求只需要傳遞附件參數(shù)和身份token，不再需要傳遞服務(wù)器的真實(shí)路徑。例如：

http://192.168.12.68:9022/file_server/preview_file?id=13e9d1887b46455a96842c503c2434cb&access_token=eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJ3ZWJfMSIsImV4cCI6MTU5NjE1NzkxOH0.eR4yYlDjIMXZmNNTq2gdghkYhw6I30NgZlvuPUmRoyk

2.1 權(quán)限校驗(yàn)文件下載

response.setHeader("X-Accel-Redirect", "/file_server" + attach.getAttachPath()); ，重點(diǎn)是X-Accel-Redirect配置返回服務(wù)器文件的真實(shí)路徑，該路徑返回后由Nginx內(nèi)部請(qǐng)求處理，不會(huì)暴露給請(qǐng)求用戶。

/**
 * @describe 使用token鑒權(quán)的文件下載
 * @author momo
 * @date 2020-7-30 13:44
 * @param id 文件唯一編碼 uuid
 * @return void
 */
@GetMapping("/download_file")
public void downloadFile(@NotNull String id) throws IOException {
    HttpServletResponse response = super.getHttpServletResponse();
    // 通過唯一編碼查詢附件
    Attach attach = attachService.getById(id);
    if (attach == null) {
        // 附件不存在，跳轉(zhuǎn)404
        this.errorPage(404);
        return;
    }
 
     // 從訪問token中獲取用戶id。 token也可以通過 參數(shù) access_token 傳遞
     Integer userId = UserKit.getUserId();
     if (userId == null || ) {
        // 無權(quán)限訪問，跳轉(zhuǎn)403
         this.errorPage(403);
         return;
     }
     
    // 已被授權(quán)訪問
    // 文件下載
    response.setHeader("Content-Disposition", "attachment; filename=\"" + new String(attach.getAttachName().getBytes("GBK"), "iso-8859-1") + "\"");
    // 文件以二進(jìn)制流傳輸
    response.setHeader("Content-Type", "application/octet-stream;charset=utf-8");
    // 返回真實(shí)文件路徑交由 Nginx 處理，保證前端無法看到真實(shí)的文件路徑。
    // 這里的 "/file_server" 為 Nginx 中配置的下載服務(wù)名
    response.setHeader("X-Accel-Redirect", "/file_server" + attach.getAttachPath());
    // 限速，單位字節(jié)，默認(rèn)不限
    // response.setHeader("X-Accel-Limit-Rate","1024");
    // 是否使用Nginx緩存，默認(rèn)yes
    // response.setHeader("X-Accel-Buffering","yes");
	response.setHeader("X-Accel-Charset", "utf-8");
    
    // 禁止瀏覽器緩存
    response.setHeader("Pragma", "No-cache");
    response.setHeader("Cache-Control", "No-cache");
    response.setHeader("Expires", "0");
}

后臺(tái)可配置屬性：

Content-Type: 
Content-Disposition: : 
Accept-Ranges: 
Set-Cookie: 
Cache-Control: 
Expires: 
 
# 設(shè)置文件真實(shí)路徑的URI，默認(rèn)void
X-Accel-Redirect: void
# 限制下載速度，單位字節(jié)。默認(rèn)不限速度off。
X-Accel-Limit-Rate: 1024|off
# 設(shè)置此連接的代理緩存，將此設(shè)置為no將允許適用于Comet和HTTP流式應(yīng)用程序的無緩沖響應(yīng)。將此設(shè)置為yes將允許響應(yīng)被緩存。默認(rèn)yes。
X-Accel-Buffering: yes|no
# 如果已傳輸過的文件被緩存下載，設(shè)置Nginx文件緩存過期時(shí)間，單位秒，默認(rèn)不過期 off。
X-Accel-Expires: off|seconds
# 設(shè)置文件字符集，默認(rèn)utf-8。
X-Accel-Charset: utf-8

2.2 權(quán)限校驗(yàn)文件預(yù)覽

文件下載和文件預(yù)覽本質(zhì)上沒有區(qū)別，只是response返回時(shí)告訴瀏覽器執(zhí)行下載還是執(zhí)行打開預(yù)覽。即response.setHeader("Content-Disposition", "inline; filename="xxx.pdf");, 然后修改返回?cái)?shù)據(jù)的格式Content-Type即可。

Content-Disposition 響應(yīng)頭指示回復(fù)的內(nèi)容該以何種形式展示，是以內(nèi)聯(lián)（inline）的形式（即網(wǎng)頁或者頁面的一部分），還是以附件（attachment）的形式下載并保存到本地。

/**
 * @describe 使用token鑒權(quán)的文件預(yù)覽（支持pdf和圖片）
 * @author momo
 * @date 2020-7-30 13:44
 * @param id 文件唯一編碼 uuid
 * @return void
 */
@GetMapping("/preview_file")
public void previewFile(@NotNull String id) throws IOException {
    HttpServletResponse response = super.getHttpServletResponse();
    // 通過唯一編碼查詢附件
	Attach attach = attachService.getById(id);
    if (attach == null) {
        // 附件不存在，跳轉(zhuǎn)404
        this.errorPage(404);
        return;
    }
 
     // 從訪問token中獲取用戶id。 token也可以通過 參數(shù) access_token 傳遞
      Integer userId = UserKit.getUserId();
      if (userId == null || ) {
         // 無權(quán)限訪問，跳轉(zhuǎn)403
          this.errorPage(403);
          return;
      }
 
    // 已被授權(quán)訪問
    // 文件直接顯示
    response.setHeader("Content-Disposition", "inline; filename=\"" + new String(attach.getAttachName().getBytes("GBK"), "iso-8859-1") + "\"");
    if ("pdf".equals(attach.getAttachType().toLowerCase())) {
        // PDF
        response.setHeader("Content-Type", "application/pdf;charset=utf-8");
    } else {
        // 圖片
        response.setHeader("Content-Type", "image/*;charset=utf-8");
    }
    // 返回真實(shí)文件路徑交由 Nginx 處理，保證前端無法看到真實(shí)的文件路徑。
    // 這里的 "/file_server" 為 Nginx 中配置的下載服務(wù)名
    response.setHeader("X-Accel-Redirect", "/file_server" + attach.getAttachPath());
    // 瀏覽器緩存 1 小時(shí)
    response.setDateHeader("Expires", System.currentTimeMillis() + 1000 * 60 * 60);
}

三、擴(kuò)展功能

1. 下載統(tǒng)計(jì)、訪問日志

// 自由發(fā)揮

2. 下載限速

// 限速，單位字節(jié)，默認(rèn)不限
response.setHeader("X-Accel-Limit-Rate","1024");

3. 防盜鏈

//判斷 Referer
String referer = request.getHeader("Referer");
if (referer == null || !referer.startsWith("https://www.itmm.wang")) {
    // 無權(quán)限訪問，跳轉(zhuǎn)403
    this.errorPage(403);
    return;
}

4. X-SENDFILE

X-Sendfile是一項(xiàng)功能，每個(gè)代理服務(wù)器都有自己不同的實(shí)現(xiàn)。

Web Server	Header
Nginx	X-Accel-Redirect
Apache	X-Sendfile
Lighttpd	X-LIGHTTPD-send-file
Squid	X-Accelerator-Vary

使用 X-SendFile 的缺點(diǎn)是你失去了對(duì)文件傳輸機(jī)制的控制。例如如果你希望在完成文件下載后執(zhí)行某些操作，比如只允許用戶下載文件一次，這個(gè) X-Sendfile 是沒法做到的，因?yàn)檎?qǐng)求交給了后臺(tái)，你并不知道下載是否成功。