场景:有一tengine的反向代理,主要反向代理到几个后端服务器上,后端服务器提供数千万的图片文件,众所周知的原因,图片是很容易被盗链的,而使用refer来反盗链的话,一是可以伪造refer,另一个是 众多合作网站需要来调用图片,需要手动添加refer,因此决定使用nginx_accesskey模块来实现。
1 tengine中新增nginx_accesskey模块。
不得不说tengine的DSO功能真的很爽,如果一个线上的服务器需要新增个模块进来的话,为了减少重编译nginx,采用Tengine来操作 可以将模块直接编译成.so动态加载给nginx。
wget http://wiki.nginx.org/p_w_picpaths/5/51/Nginx-accesskey-2.0.3.tar.gz tar -zxvf Nginx-accesskey-2.0.3.tar.gz cd nginx-accesskey-2.0.3/ vim config 修改$HTTP_ACCESSKEY_MODULE为ngx_http_accesskey_module cd /usr/local/cloud/nginx/tengine2.0.0/sbin ./dso_tool --add-module=/home/skybug/nginx-accesskey-2.0.3 --dst=/usr/local/vipcloud/nginx/dso/
至此,将ngx_http_accesskey_module.so编译并复制到了 tengine的dso目录下。
修改nginx.conf
添加 lodad ngx_http_accesskey_module.so;
ngx_http_accesskey变动态加载到tengine中。
2 如何使用ngx_http_accesskey 实现防盗链
在server段的某一个location中添加如下:
比如
location ~*\.(gif)$ { root /var/www/p_w_picpath.xxx.com; access_log off; expires 7d; accesskey on; accesskey_hashmethod md5; accesskey_arg "key"; accesskey_signature "dasiyebushuo$remote_addr"; }
这个时候 如果你访问
http://p_w_picpath.xxx.com/mmm/nnn/test.gif
会看到 报出403错误 没有权限访问。
如何正常来访问这个图片呢?
如果某一个客户的ip地址是 192.168.0.1
那么 dasiyebushuo192.168.0.1的md5为b49eeb993eaf25edfeca43bdaf07c541
正常访问这个图片的方法是
http://p_w_picpath.xxx.com/mmm/nnn/test.gif?key=b49eeb993eaf25edfeca43bdaf07c541
页面里调用图片的方法 只需要把dasiyebushuo$remoteip 计算一下md5然后作为key的参数来访问即可,
说明:
accesskey on; 是否启用accesskey 防盗链
accesskey_hashmethod md5; 采用md5来hash参数,可以选hash或md5
accesskey_arg "key";参数名,如果你设置为site 那么就是xxx.gif?site= 如果设置为key 就是xxx.gif?key=
accesskey_signature "dasiyebushuo$remote_addr"; 具体用什么来hash 可以是客户IP 可以是cookie nginx的内置变量均可,通常采用remote_addr,也可以用cookie来hash;dasiyebushuo 扰乱用的,如果你用客户iphash 别人也可以吧客户的iphash出来提交就渠道图片了,如果你在客户的ip前面加一个串一起来hash 除非别人猜出来用的什么
3 在http_proxy 反向代理中如何使用ngx_http_accesskey_module
nginx的三方模块很多,但是想让这些模块都一起来配合工作就不一定了。比如如果你的nginx是一个反向代理的图片前端服务器,采用nginx-accesskey 后比如配置为
location ~*\.(gif)$
{
expires 7d;
accesskey on;
accesskey_hashmethod md5;
accesskey_arg "site";
accesskey_signature "dasiyebushuo$remote_addr";
proxy_cache_valid 200 304 5d;
proxy_cache_valid 301 302 30m;
proxy_cache_valid any 30m;
proxy_cache_key $host$uri$is_args$args;
proxy_set_header Host pic1.xxxx.com;
proxy_set_header X-forwarded-For $remote_addr;
proxy_pass http://pic.xxxx.com_server_pool;
}
我们以为这样就可以了,结果发现 在访问图片的时候,无论你加不加?site=b49eeb993eaf25edfeca43bdaf07c541 图片都出的来, accesskey 完全没有起作用。非常郁闷。
nginx有个神奇的功能 404重定向,ok 思路换一下,先让我们到本地去找文件(由于是反向代理,实际上任何访问的图片都不在nginx上 而是在后端服务器上,那么只有1种情况,就是访问会返回404,利用accesskey模块先来验证用户的请求对不对,如果没有加?site==b49eeb993eaf25edfeca43bdaf07c541或者 ?site=md5(dasiyebushuo$remote_addr)传入的不对,恩 是盗链 则直接返回403!如果是对了呢?对了就去/var/www/给你找这个文件,当然了,找不到赛,因此是个404,我们把404直接定向到@fallback这一段去处理。
然后在@fallback这段里 我们直接proxy_pass到后端去。修改后的配置如下:
location ~*\.(gif)$ { root /var/www/; expires 7d; accesskey on; accesskey_hashmethod md5; accesskey_arg "site"; accesskey_signature "dasiyebushuo$remote_addr"; error_page 404 = @fallback; } location @fallback { proxy_cache_valid 200 304 5d; proxy_cache_valid 301 302 30m; proxy_cache_valid any 30m; proxy_cache_key $host$uri$is_args$args; proxy_set_header Host pic1.xxxx.com; proxy_set_header X-forwarded-For $remote_addr; proxy_pass http://pic.xxxx.com_server_pool; }
测试后发现这样可行