之前在实现静态文件访问限制的时候,留存有一个问题,实现文件下载的访问还是交给了bottle进行实现!
文:https://www.jianshu.com/p/39831eeafed1
后来重新认识了一下关于nginx实现内部的重定向!才知道认知上有一点点的错误。
关于nginx实现内部的重定向主要还是利用internal来实现只允许内部访问的机制。
对于配置了internal访问路径,表示这个反向代理只被内部使用,用户直接访问这个uri,会404。
实现的主要流程应该是:
1:访问相关web应用服务器接口做动态的下载权限的验证。
2:进行相关鉴权后,然后在接口处把下载处理转交给nginx去做,既nginx内部重定向。
上述方式主要优点有:
1:web应用服务器可以对文件访问进行鉴权
2:屏蔽真实的下载文件地址,对用户侧进行透明
整个流程主要核心点主要是:
利用nginx提供的X-Accel-Redirect的关键字,
用户发起静态文件访问请求的时候
server {
listen 80;
server_name 192.168.182.155;
root /data/app/html/; #静态文件项目的目录
location / {
index Index.html index.html;
#proxy_pass http://192.168.182.155:8089;
}
location ~* ^/(filedown)/{
internal; # 限制内部访问的关键字段
alias /data/app/html2/static/$1; //文件可以放到别的目录
}
location ~* ^/(upload)/{
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_pass http://192.168.182.155:8089;
}
}
经过鉴权后,web应用服务器在响应处理的时候再header中加上X-Accel-Redirect字段,
@get('/upload/<filepath:path>')
@login_required
def upload(filepath):
response['Content-Disposition: attachment; filename='] = 'asjjshdha'
response.headers['X-asdas'] = 'asasaaa'
response.headers['X-Accel-Redirect'] = '/data/app/xianzhi'+'/filedown/%s' % filepath
response.headers['Content-Disposition'] = 'attachment; filename=asasas'
值为跳转的uri
response.headers['X-Accel-Redirect'] = '/data/app/xianzhi'+'/filedown/%s' % filepath
当nginx收到有返回X-Accel-Redirect头部时会自动拦截这个http响应请求,然后在内部重定向到这个uri的位置【 '/data/app/xianzhi'+'/filedown/%s' % filepath】。
