Python的Flask框架及Nginx实现静态文件访问限制功能


Posted in Python onJune 27, 2016

Nginx配置

Ngnix,一个高性能的web服务器,毫无疑问它是当下的宠儿。卓越的性能,灵活可扩展,在服务器领域里攻城拔寨,征战天下。

静态文件对于大多数website是不可或缺的一部分。使用Nginx来处理静态文件也是常见的方式。然而,一些静态文件,我们并不像任何情况下都公开给任何用户。例如一些提供给用户下载的文件,一些用户上传的涉及用户隐私的图片等。我们我希望用户登录的情况下可以访问,未登录的用户则不可见。

粗略的处理,在后端程序可以做过滤,渲染页面的时候,在视图逻辑里面验证用户登录,然后返回对应的页面。例如下面的flask代码(伪代码)

@app.router('/user/idcard'):
def user_idcard_page():
 if user is login:
  return '<img src="/upload/user/xxx.png'>"
 else:
  reutrn '<p>Pemission Denied<p>', 403

可是这样的处理,还有一个问题,静态文件是交给 nginx 处理的,如果hacker找到了文件的绝对地址,直接访问 http://www.example.com/upload/user/xxx.png也是可以的。恰巧这些文件又涉及用户隐私,比如用户上传的身份证照片。那么码农可不希望第二天媒体报道,知名网站XXX存在漏洞,Hacker获取了用户身份证等信息。

为了做这样的限制,可以借助 Nginx 的一个小功能----XSendfile。 其原理也比较简单,大概就是使用了请求重定向。

我们知道,如果用Nginx做服务器前端的反向代理,一个请求进来,nginx先补捉到,然后再根据规则转发给后端的程序处理,或者直接处理返回。前者处理一些动态逻辑,后者多是处理静态文件。因此上面那个例子中,直接访问静态文件的绝对地址,Nginx就直接返回了,并没有调用后端的 user_idcard_page做逻辑限制。

为了解决这个问题,nginx提供的 XSendfile功能,简而言之就是用 internal 指令。该指令表示只接受内部的请求,即后端转发过来的请求。后端的视图逻辑中,需要明确的写入X-Accel-Redirect这个headers信息。

伪代码如下:

location /upload/(.*) {
  alias /vagrant/;
  internal;
}

@app.router('upload/<filename>')
@login_required
def upload_file(filename):
 response = make_response()
 response['Content-Type'] = 'application/png'
 response['X-Accel-Redirect'] = '/vagrant/upload/%s' % filename
 return response

经过这样的处理,就能将静态资源进行重定向。这样的用法还是比较常见的,很多下载服务器可以通过这样的手段针对用户的权限做下载处理。

Flask

Flask是我喜欢的web框架,Flask甚至实现了一个 sendfile的方法,比上面的做法还简单。我用vagrant作了一个虚拟机,用Flask实现了上面的需求,具体代码如下:

项目结构

project struct

project
 app.py
 templates
 static
 0.jpeg
 upload
 0.jpeg

nginx的配置 nginx conf

web.conf

server {
  listen 80 default_server;

  # server_name localhost;
  server_name 192.168.33.10;
  location / {
    proxy_pass http://127.0.0.1:8888;
    proxy_redirect off;
    proxy_set_header Host $host:8888;
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
  }
  # 正常的静态文件
  location /static/(.*) {
    root /vagrant/;

  }
  # 用户上传的文件,需要做权限限制
  location /upload/(.*) {
    alias /vagrant/;
    internal;    # 只接受内部请求的指令
  }
}

Flask 代码

app.py

from functools import wraps
from flask import Flask, render_template, redirect, url_for, session, send_file

app = Flask(__name__)

app.config['SECRET_KEY'] = 'you never guess'

def login_required(f):
 @wraps(f)
 def decorated_function(*args, **kwargs):
  if not session.get('login'):
   return redirect(url_for('login', next=request.url))
  return f(*args, **kwargs)
 return decorated_function

@app.route('/')
def index():
 return 'index'


@app.route('/user')
@login_required
def user():

 return render_template('upload.html')

# 用户上传的文件视图处理,在此处返回请求给nginx
@app.route('/upload/<filename>')
@login_required
def upload(filename):

 return send_file('upload/{}'.format(filename))


@app.route('/login')
def login():
 session['login'] = True
 return 'log in'

@app.route('/logout')
def logout():
 session['login'] = False
 return 'log out'


if __name__ == '__main__':
 app.run(debug=True)

简单部署

gunicorn -w4 -b0.0.0.0:8888 app:app --access-logfile access.log --error-logfile error.log
Python 相关文章推荐
python实现查找两个字符串中相同字符并输出的方法
Jul 11 Python
巧用python和libnmapd,提取Nmap扫描结果
Aug 23 Python
python版微信跳一跳游戏辅助
Jan 11 Python
TensorFlow实现卷积神经网络CNN
Mar 09 Python
python获取文件路径、文件名、后缀名的实例
Apr 23 Python
对python中Matplotlib的坐标轴的坐标区间的设定实例讲解
May 25 Python
使用TensorFlow实现二分类的方法示例
Feb 05 Python
Python 自动登录淘宝并保存登录信息的方法
Sep 04 Python
利用Python自动化操作AutoCAD的实现
Apr 01 Python
浅谈tensorflow 中的图片读取和裁剪方式
Jun 30 Python
Python 实现图片转字符画的示例(静态图片,gif皆可)
Nov 05 Python
变长双向rnn的正确使用姿势教学
May 31 Python
总结网络IO模型与select模型的Python实例讲解
Jun 27 #Python
结合Python的SimpleHTTPServer源码来解析socket通信
Jun 27 #Python
Python的Tornado框架的异步任务与AsyncHTTPClient
Jun 27 #Python
深入解析Python中的descriptor描述器的作用及用法
Jun 27 #Python
Python中的字符串查找操作方法总结
Jun 27 #Python
解析Python中的__getitem__专有方法
Jun 27 #Python
详解Python中的__getitem__方法与slice对象的切片操作
Jun 27 #Python
You might like
默默小谈PHP&amp;MYSQL分页原理及实现
2007/01/02 PHP
hadoop中一些常用的命令介绍
2013/06/19 PHP
php计算程序运行时间的简单例子分享
2014/05/10 PHP
php自定义函数截取汉字长度
2014/05/15 PHP
PHP数据对象PDO操作技巧小结
2016/09/27 PHP
JavaScript入门教程(11) js事件处理
2009/01/31 Javascript
js判断鼠标同时离开两个div的思路及代码
2013/05/31 Javascript
Jquery实现仿腾讯微博发表广播
2014/11/17 Javascript
JavaScript 学习笔记之数据类型
2015/01/14 Javascript
jQuery中ajax的load()与post()方法实例详解
2016/01/05 Javascript
JavaScript简单实现弹出拖拽窗口(一)
2016/06/17 Javascript
JS常用函数和常用技巧小结
2016/10/15 Javascript
JavaScript中的await/async的作用和用法
2016/10/31 Javascript
JS实现点击网页判断是否安装app并打开否则跳转app store
2016/11/18 Javascript
一句jQuery代码实现返回顶部效果(简单实用)
2016/12/28 Javascript
js读取json文件片段中的数据实例
2017/03/09 Javascript
简单的JS控制button颜色随点击更改的实现方法
2017/04/17 Javascript
Javascript 一些需要注意的细节(必看篇)
2017/07/08 Javascript
vue组件详解之使用slot分发内容
2018/04/09 Javascript
vue-form表单验证是否为空值的实例详解
2019/10/29 Javascript
[01:36:19]Secret vs NB 2018国际邀请赛小组赛BO2 第一场 8.19
2018/08/21 DOTA
Python实现抓取百度搜索结果页的网站标题信息
2015/01/22 Python
详解Django中Request对象的相关用法
2015/07/17 Python
浅谈Python由__dict__和dir()引发的一些思考
2017/10/30 Python
python如何修改装饰器中参数
2018/03/20 Python
Python Pillow Image Invert
2019/01/22 Python
pandas read_excel()和to_excel()函数解析
2019/09/19 Python
TensorFlow:将ckpt文件固化成pb文件教程
2020/02/11 Python
表单button的outline在firefox浏览器下的问题
2012/12/24 HTML / CSS
前端H5 Video常见使用场景简介
2020/08/21 HTML / CSS
皮姆斯勒语言学习:Pimsleur Language Programs
2018/06/30 全球购物
自动化系在校本科生求职信
2013/10/23 职场文书
差生评语大全
2014/05/04 职场文书
先进个人主要事迹范文
2015/11/04 职场文书
宣传委员竞选稿
2015/11/19 职场文书