seaweedfs文件服务器Security安全控制

前言:实际开发中,用户上传的图片和文件,我们需要对图片做保护措施,为了不让图片直接暴露在外网无差别的访问,图片服务器链接进行鉴权这个就显得尤为重要了

本文主要讲解seaweedfs文件服务器自身的jwt鉴权,读权限的限制

seaweedfs源码文档链接git地址

1.创建security.toml 文件,并设置对应的验证证书

官网配置security.toml步骤
1.1:命令生成security.toml:weed scaffold -config=security

1.2:通过openssl生成CA证书,并生成客户端证书和密钥(此处我没有用官网提供的https://github.com/square/certstrap的插件进行生成,原因是执行命令go build时候一直报错,提示timeout,找不到gopass插件

官网提供的生成证书的方法

//openssl生成CA颁发证书过程
//生成颁发机构CA证书
1. genrsa -des3 -out SeaweedFSCA.key 1024
2. rsa -in SeaweedFSCA.key -out SeaweedFSCA.key
3. req -new -x509 -key SeaweedFSCA.key -out SeaweedFSCA.crt -days 365

4. 生成请求证书的密钥
genrsa -des3 -out volume01.key  1024
genrsa -des3 -out master01.key  1024
genrsa -des3 -out filer01.key  1024
genrsa -des3 -out client01.key  1024

5. 免密码输入
rsa -in volume01.key -out volume01.key
rsa -in master01.key -out master01.key
rsa -in filer01.key -out filer01.key
rsa -in client01.key -out client01.key

6. 生成网站请求文件csr
req -new -key volume01.key -out volume01.csr
req -new -key master01.key -out master01.csr
req -new -key filer01.key -out filer01.csr
req -new -key client01.key -out client01.csr

7. 使用虚拟的CA认证机构的证书ca.crt,来对自己网站的证书请求文件server.csr进行处理,生成签名后的证书server.crt    注意设置序列号和有效期(一般都设1年)
x509 -req -in volume01.csr -CA SeaweedFSCA.crt -CAkey SeaweedFSCA.key -set_serial 01 -out volume01.crt -days 365

x509 -req -in master01.csr -CA SeaweedFSCA.crt -CAkey SeaweedFSCA.key -set_serial 01 -out master01.crt -days 365

x509 -req -in filer01.csr -CA SeaweedFSCA.crt -CAkey SeaweedFSCA.key -set_serial 01 -out filer01.crt -days 365

x509 -req -in client01.csr -CA SeaweedFSCA.crt -CAkey SeaweedFSCA.key -set_serial 01 -out client01.crt -days 365

我把生成的证书和security.toml配置好得文件放到了百度云盘,供大家参考:
生成的CA证书文件和security.toml文件资源地址:https://pan.baidu.com/s/1Z50unVL2Z1cfloHgjkH6OQ 密码:9qay

1.3:生成的security.toml文件放到跟weed同级目录下即可,seaweedfs如何安装请传送门参考这篇文章

1.4:使用方法,获取文件生成的token

JWT for Read Access Control 官方api方法

The volume server can also check JWT for reads. This mode does not work with weed filer. But this could be useful if the volume server is exposed to public and you do not want anyone to access it with a URL, e.g., paid content.
To enable it, set the jwt.signing.read.key in security.toml file.
To obtain a JWT for read, the JWT can be read from the response header Authorization of http://:/dir/lookup?fileId=xxxxx&read=yes.

请求示例response获取文件id的请求头Authorization


response获取请求头Authorization示例

读文件请求头中写入请求头Authorization示例


读文件请求头中写入请求头信息

读文件请求头中写入请求头Authorization信息失效或者请求头中没有Authorization信息的示例


读文件请求头中写入请求头Authorization信息失效或者请求头中没有Authorization信息的示例

1.5:至此文件读权限校验加入成功
seaweedfs使用jwt自身token鉴权
优点:
1.可以完全脱离项目业务逻辑,实现自身权限控制,自签自验(自己签发Authorization,自己验证Authorization)
2.可以自己设置Authorization的有效期,实现阶段性读取权限限制
缺点
1.图片链接需要在请求头中加入Authorization信息,h5中标签无法直接在图片链接中加入请求头信息 。
2.每一个文件读取都需要根据文件id申请一个Authorization信息,操作稍显繁琐

结语:读权限的限制关键是security.toml文件中加入配置语句
 [jwt.signing.read]
 key = "blahblahblahblah"
 expires_after_seconds = 40           # seconds设置Authorization有效时间,单位秒

security.toml文件配置

关于文件访问权限控制,另一种方案,可看linux 安装openresty并使用lua脚本转发鉴权控制文件访问权限文章

你可能感兴趣的:(seaweedfs文件服务器Security安全控制)