湛江手机网站建设,怎么做网站公司宣传资料,做淘客网站 知乎,建设项目环境影响评价公示网站shigen坚持更新文章的博客写手#xff0c;擅长Java、python、vue、shell等编程语言和各种应用程序、脚本的开发。记录成长#xff0c;分享认知#xff0c;留住感动。 个人IP#xff1a;shigen #x1f44b;#x1f44b;#x1f44b;hello#xff0c;伙伴们好久不见擅长Java、python、vue、shell等编程语言和各种应用程序、脚本的开发。记录成长分享认知留住感动。 个人IPshigen hello伙伴们好久不见最近shigen遇到了很多的事情现在算是安顿好了也可以开始技术分享了。但是分享的频率的话肯定会比之前低的很多因为我也要正式的学习新的技术了。
来今天的正题springboot实现图片防盗链。可能看起来场景比较抽象这里shigen给出之前的一个例子对象存储服务的流量被盗刷了当时官方给的解决方案包括我后来采用的方式就是referer的限制。 后来我的对象存储服务的流量就正常了。那今天我也是好奇这个用springboot怎么实现。在接下来的内容中我将会着重分享我的设计。
首先了解一下Referer是什么吧。
什么是Referer
这里告别充满广告和垃圾网站的搜索引擎直接GPT查询 Referer来源是HTTP头部字段之一用于指示客户端是从哪个页面跳转或发起请求的。当客户端通常是浏览器向服务器发送请求时它会在HTTP头部中包含 Referer 字段告诉服务器请求的来源页面的URL。这个字段可以帮助服务器了解请求的上下文和用户行为有助于进行数据分析、安全检查等操作。 也就是说请求一个资源的时候浏览器的请求头信息中会带上Referer字段标示出当下的请求的上一个请求是什么地方来的。
那基于这个原理我们就可以设计出自己的防盗链。
java代码的设计
基础版
假设我们的springboot项目中可以直接通过http请求访问到某个路径下的资源。我们先这样的尝试吧。我们的配置肯定要实现WebMvcConfigurer这个接口实现资源的映射。那我就直接展示我的代码
Configuration
EnableWebMvc
Slf4j
public class MvcConfig implements WebMvcConfigurer {/*** 静态资源保存目录*/public static final String FILE_RESOURCE_PATH file: System.getProperty(user.dir) /files/;Overridepublic void addResourceHandlers(ResourceHandlerRegistry registry) {log.error(静态资源保存目录:{}, FILE_RESOURCE_PATH);registry.addResourceHandler(/files/**).addResourceLocations(FILE_RESOURCE_PATH);}
}其实我们最终实现的文件路径就是项目根路径/files/文件夹的全部文件。
这样我们就可以通过http请求访问了。 但是明显的我们的资源不是很安全。因为任意来源、任何人都可以访问到它。那我们限制来源的话这个时候Referer就可以派上用场了。
升级版
升级版本我们就需要统一拦截一下请求看看请求头中是否包含Referer信息且是我们约定的Referer。这样才能判定是正常的请求进行流量的放行否则的话就是要去拦截。
接下来先去设计一个拦截器
Slf4j
Component
public class ResourceInterceptor extends HandlerInterceptorAdapter {Resourceprivate ReferConfig referConfig;/*** 匹配的文件种类*/private static final String FILE_REGEX \\.(html|css|js|jpg|jpeg|png|gif|bmp|svg|pdf|doc|docx|xls|xlsx|ppt|pptx|mp4|mov)$;private static final Pattern FILE_REGEX_PATTERN Pattern.compile(FILE_REGEX, Pattern.CASE_INSENSITIVE);Overridepublic boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {// 获取请求的 URLString requestUrl request.getRequestURL().toString();log.info(requestUrl:{}, requestUrl);// 检查是否是静态资源请求if (referConfig.isEnabled() isStaticResource(requestUrl)) {// 检查防盗链策略if (!isValidReferer(request)) {response.setStatus(HttpServletResponse.SC_FORBIDDEN);return false;}}return true;}/*** 正则验证请求的资源** param url 请求资源* return 是否匹配*/private boolean isStaticResource(String url) {return FILE_REGEX_PATTERN.matcher(url).find();}/*** 检查 Referer 头判断请求是否合法** param request 请求* return 是否是合法请求*/private boolean isValidReferer(HttpServletRequest request) {String referer request.getHeader(Referer);return CollectionUtil.contains(referConfig.getAllowedOrigins(), referer);}
}具体的业务逻辑的验证都在注释里这里需要注意
关于Referer的配置最好写成动态的便于后期的拓展对于url的请求判断最好使用正则表达式因为url本身请求的就是静态资源但是后边带了其他的参数可能导致直接绕过
对于自定的配置类shigen是这样的设计
Configuration
ConfigurationProperties(prefix refer)
Data
public class ReferConfig {/*** 是否开启防盗链拦截*/private boolean enabled;/*** 允许的Referer请求*/private ListString allowedOrigins;}接下来就是配置到拦截器上。
Configuration
EnableWebMvc
Slf4j
public class MvcConfig implements WebMvcConfigurer {Resourceprivate UserArgumentResolver userArgumentResolver;Resourceprivate ResourceInterceptor resourceInterceptor;/*** 静态资源保存目录*/public static final String FILE_RESOURCE_PATH file: System.getProperty(user.dir) /files/;Overridepublic void addArgumentResolvers(ListHandlerMethodArgumentResolver resolvers) {resolvers.add(userArgumentResolver);}Overridepublic void addInterceptors(InterceptorRegistry registry) {registry.addInterceptor(resourceInterceptor).addPathPatterns(/**);}Overridepublic void addResourceHandlers(ResourceHandlerRegistry registry) {log.error(静态资源保存目录:{}, FILE_RESOURCE_PATH);registry.addResourceHandler(/files/**).addResourceLocations(FILE_RESOURCE_PATH);}
}待一切完成我们这里再检查一下配置文件就可以正常的启动服务进行测试了。
refer:enabled: trueallowed-origins:- http://www.shigen.com此时我们再次在浏览器中直接访问 这时我们想要正常的访问就得借助于接口测试工具了。 以上就是关于文件防盗链的设计分享相关代码可参考新增文件防盗链案例。
与shigen一起每天不一样
