nginx做文件服务器时使用第三方系统做认证

我们在项目中做文件下载时，一般会使用nginx 做文件下载服务器，但是一旦暴露了 下载链接，其他人就随意下载文件，有安全风险。

其实我们可以使用Nginx的auth_request模块，nginx 在接到下载请求时，将请求转发到我们自己的项目中，我们项目提供一个接口来做认证，认证通过返回nginx 200，否则返回401

栗如：web 项目用户登录会产生一个token, 用户登录后在下载文件时，在请求头（header）中加上Authorization

例如：

nginx 配置如下：

      location /img/ {
        auth_request /auth;
        error_page 401 = @auth_required;
        alias   /data/img/;
        image_filter_buffer 10M;

      }
      location = /auth {
            proxy_pass http://127.0.0.1:8848/verity;
            proxy_set_header Host $host;
            proxy_set_header X-Real-IP $remote_addr;
            proxy_set_header Authorization $http_authorization;
          }
      location @auth_required {
            return 401;  # 认证失败返回 401 状态码
          }

注意： nginx 需要auth_required 模块，在安装时候执行

./configure --with-http_auth_request_module

在使用宝塔面板安装nginx 时，一定要选择编译安装，并记得添加此模块。

后端认证demo

示例为简单的flask 程序

from flask import Flask, request, abort

# 创建一个 Flask 应用实例
app = Flask(__name__)


@app.route('/')
def hello_world():
    print(request.headers)
    return 'Hello, World!'


@app.route('/verity')
def verity_func():
    print(request.headers)
    print(request.url)
    if request.headers.get("Authorization")=='12366666':
        return 'ok',200
    else:
        abort(401)



if __name__ == '__main__':
    # 在开发模式下运行应用
    app.run(host='0.0.0.0',port=8848, debug=True)

/verity 接口模拟解析Authorization认证的过程

测试：

curl --location --request GET 'http://124.70.71.86/img/3.jpg' \
--header 'Authorization: 12366666' \
--header 'User-Agent: Apifox/1.0.0 (https://www.apifox.cn)'

Authorization 的value 内容可以自定义，

此案例仅仅是一个思路，

比如我们在做文件分享时，比如分享文件有效期为7天，我们生成一个随机url,比如 http://www.demo.com/down/iZNuYBDkPI3N.py我们在redis中将文件真实名字与iZNuYBDkPI3N.py对应存储，这条数据在redis 设置过期时间为7天，用户每次下载都拿iZNuYBDkPI3N.py这个名字来redis 找数据， 找不到则证明超过分享时间了。

沿着此思路可以拓展需要业务场景。