`
seven.yu
  • 浏览: 34713 次
  • 性别: Icon_minigender_2
  • 来自: 沈阳
社区版块
存档分类
最新评论

定制Apache的防盗链模块

阅读更多
定制Apache的防盗链模块
Author: Jeff Pang pangj@earthlink.net 
Date: 2008-1-8

网上介绍比较多的防盗链配置方法是使用reference来识别请求是否来自本站。但reference的弊端是很容易伪造,如迅雷之类的工具就使用了伪造的reference,让防盗链设置无效。

这里介绍的方法是自己定制Apache的防盗链模块。一般防盗链要保护的是可供下载的大型文件,如视频、图片等。这些文件以链接形式嵌入在网页里,通过点击来获取文件的绝对路径。如果嵌在网页里的文件路径未作任何保护,例如某个视频文件路径是:

http://example.com/1234.rm

那么恭喜你,不久你就会被迅雷等网站收录,成为他们的流量贡献节点了。

但如果这个视频文件的路径是:

http://example.com/1234.rm?a=33d591d3ba7ae0cedc99a65f723ad0ea

a=后面是md5加密的验证串,Apache服务器会获取这个验证串并进行校验,如果合法,则允许下载,否则拒绝访问(返回403)。这样一来,别人不知道你的验证串加密算法,也就不能盗链你的资源了。

这个串由前台网页程序产生,由后台的Apache服务器来进行验证。这里假定网页程序是PHP,当然也可以是其他任何动态语言如Perl、Python、Java等。PHP和下载服务器的Apache模块共同约定此算法,因为PHP产生一个md5加密串,后台的Apache需要用相同算法产生一个md5串,并进行对比校验。这个串的产生条件,通常包括用户IP、目标文件ID、访问时间、双方约定的ShareKey等。将这些条件联合起来,并用md5加密成一个串,然后将该串作为参数传给下载服务器的Apache。Apache获取到请求后,再对这个串进行校验。

如何在Apache端配置这个防盗链模块呢?这里我使用modperl。modperl是个非常强大的开发工具,它可以访问Apache内部的所有API,可以在Apache响应处理的各个阶段定制自己的处理器。mod_rewrite想必很多人都知道它的强大,其实mod_rewrite的功能,用modperl也可以轻松的编写出来。

Apache处理一个请求分成很多个阶段,这里我们只要在Access这个阶段做一些处理就够了。也就是说,在Apache里加载一个处理器,在文件被访问前,由该处理器对验证串进行校验,校验通过才允许访问。

在使用modperl之前,首先需要装好它。Apache有1.3版本和2.x版本,同样modperl也有1.0版本和2.0版本。1.0版本已停止开发了,处于维护阶段。出于更好的性能考虑,我们使用httpd 2.0和modperl 2.0版本。

modperl需要结合Apache进行安装,并且需要安装libapreq2。安装过程请见我的另一篇文档:http://pyh7.spaces.live.com/blog/cns!47D8D44208AC51E5!128.entry

装好modperl后,修改httpd.conf配置文件,增加如下配置:

1. PerlPostConfigRequire /opt/httpd2/run/startup.pl
2. 
3. <Location /protect>
4.   SetHandler modperl
5.   PerlAccessHandler DLAuth2
6.
7.   PerlSetVar ShareKey TestKey
8.   PerlAddVar PassAuthIPs 192.168.0.1-192.168.0.254
9. </Location>

第1行的startup.pl是初始配置文件,这个文件主要有2个作用:加载处理器的运行目录,和预加载一些类库。
第3行表示/protect这个web目录下的文件,都受防盗链保护。
第4行表示设置处理器类型为modperl。
第5行是关键,这里加载了我们的Access验证模块,模块名是DLAuth2。
第7行是加密验证串的shareKey,这个Key也需要告诉前台的网页开发人员。
第8行是防盗链白名单IP,若没有,则注释掉该行即可。

接着,在Apache的根目录(这里假定是/opt/httpd2)下面创建一个run子目录,将防盗链模块DLAuth2.pm和startup.pl都放在该目录下。另外,创建/protect这个web根目录(例如/opt/httpd2/htdocs/protect),将需要防盗链保护的文件(如视频或图片)放在这个目录下,也可以将其他文件目录link或mount到该目录下。

startup.pl的内容类似如下:

use strict;

use lib qw(/opt/httpd2/run);  # 加载处理器的运行目录

#use Apache2::RequestIO ();  # 预加载的类库
use Apache2::RequestRec ();
use Apache2::Connection ();
use Apache2::RequestUtil ();
use Apache2::ServerUtil ();
use Apache2::Log ();
use Apache2::Request ();

1;  # 不要丢了这个1,表示返回真给调用者

DLAuth2.pm内容类似如下:

package DLAuth2;

use strict;
use warnings;
use Socket qw(inet_aton);
use POSIX qw(strftime);
use Digest::MD5 qw(md5_hex);

#use Apache2::RequestIO ();
use Apache2::RequestRec ();
use Apache2::Connection ();
use Apache2::RequestUtil ();
use Apache2::ServerUtil ();
use Apache2::Log ();
use Apache2::Request ();

use Apache2::Const -compile => qw(OK FORBIDDEN);

sub handler { # 处理器的钩子函数,函数名不能改

    my $r = shift;  # 请求目标
    my $q = Apache2::Request->new($r);
    my $s = Apache2::ServerUtil->server;

    my $ip = $r->connection->remote_ip;  # 获取访问者IP
    my $fid = $q->param('fid') || get_fileid();  # 获取目标文件ID

    my $ip_int = ip2int($ip);  # 将IP转换成大整数
    my $shareKey = $r->dir_config('ShareKey') || '';  # 从配置文件获取shareKey
    my @passip = $r->dir_config->get('PassAuthIPs'); # 从配置文件获取白名单IP
    my @passip_int;  # 白名单IP数组

    for (@passip) {  # 将白名单IP转换成整数数组
        if (/-/) {
            my ($start,$end) = split/-/;
            my $start_int = ip2int($start);
            my $end_int = ip2int($end);

            for (my $i=$start_int;$i<=$end_int;$i++) {
                push @passip_int,$i;
            }

        } else {
            push @passip_int, ip2int($_);
        }
    }

    for (@passip_int) {  # 如果请求IP位于白名单里,则允许访问
        return Apache2::Const::OK if $ip_int == $_;
    }

    # 日期这里取的是当前天,为防止时间不一致,在我的产品程序里,时间设置比较宽松,当前天的前后2天都是可以的。
    my $date = strftime("%Y%m%d",localtime);

    # 基于相关条件产生验证串。
    my $auth_string = generate_auth_string($ip_int, $fid, $date, $shareKey);

     # 获取请求URL的验证串,该串由前台PHP程序产生
    my $str = $q->param('a') || ''; 

    if ($str eq $auth_string) {
        return Apache2::Const::OK;  # 如果2串一致,则允许访问

    } else {
        $s->log_error("[$ip FORBIDDEN] Auth failed");  # 否则拒绝并记录log
        return Apache2::Const::FORBIDDEN;
    }

    return Apache2::Const::OK;  # 默认策略是允许访问
}

sub ip2int { # 将IP转换成大整数的函数
    my $ip = shift; 
    my $nl = inet_aton($ip);
    die "wrong ip $!" unless defined $nl;

    return unpack('N',$nl);
}

sub generate_auth_string { # 产生验证串的函数,返回一个md5加密串
... # 你自己的代码用来产生验证串,此处算法必须和前台PHP的算法一致
}

sub get_fileid { # 获取目标文件ID的函数,简单的做法是文件名就包含ID
… # 你自己的代码用来获取目标文件ID
}

1;

配好上述后,stop再start Apache,一个强大的防盗链系统就产生了。

补充一下,上述对Apache的访问控制设置,只用到了modperl的一个很浅的功能。如果你想改造或定制Apache,实际上modperl可以做任何你想要的。如下是一些参考文档:

modperl官方文档:http://perl.apache.org/docs/index.html
modperl编程指南(本人翻译):http://home.arcor.de/jeffpang/mod_perl/
 
 
 
分享到:
评论

相关推荐

    防盗链模块,(HttpHandler+Apache技术)

    在这个场景中,我们重点关注的是使用HttpHandler和Apache服务器来构建防盗链模块的方法。 HttpHandler是ASP.NET框架中的一个关键组件,它允许开发者自定义HTTP请求的处理流程。通过创建并注册HttpHandler,我们可以...

    apach防盗链配置

    总结,Apache防盗链配置是通过`mod_rewrite`模块实现的,主要涉及编写`.htaccess`文件中的规则来判断和阻止非站点内部的资源请求。根据实际需求,可以定制规则以保护不同类型文件,允许特定网站引用,或提供友好错误...

    Apache官方中文文档教程

    这个"Apache官方中文文档教程"应该涵盖了以上所有知识点,并可能包含更多高级主题,如FastCGI、Gzip压缩、URL重定向、防盗链设置等。通过深入学习和实践,用户不仅可以了解Apache的基础知识,还能掌握如何根据实际...

    apache中文帮助文档

    9. **防盗链与访问控制**:Apache可以通过多种方式限制对特定资源的访问,如使用.htaccess文件进行访问控制,或者防止图像和其他资源被盗链。 10. **Docker化部署**:随着容器技术的发展,如何在Docker环境中部署...

    Apache HTTP Server Version 2.2 文档

    Apache 2.2可以通过RewriteCond和RewriteRule结合使用,实现防盗链功能,防止外部网站盗用你的资源。此外,使用Allow、Deny和Order指令,可以精细控制对特定IP或用户组的访问权限。 十、模块扩展性 Apache 2.2的...

    Apache2.2 应用服务器

    14. **防盗链设置** - 使用`Referrer`头信息,可以防止其他网站盗链服务器上的资源。 15. **定期任务** - 结合cron job,可以定期执行清理、备份或其他维护任务。 总的来说,Apache2.2是一个强大的Web服务器,...

    apache服务器全能设置

    十、防盗链设置 通过`mod_rewrite`防止其他网站盗链你的资源,设置`RewriteCond`和`RewriteRule`。 十一、权限与用户控制 使用`&lt;Directory&gt;`或`.htaccess`设置文件和目录的访问权限,可结合`User`和`Group`配置运行...

    apache和htaccess知识总结

    - **防盗链**:通过限制Referer头防止图片或文件被其他网站盗链。 - **GZIP压缩**:启用`mod_deflate`模块并配置`.htaccess`,可以对网页内容进行GZIP压缩,减少传输大小,提升加载速度。 - **expires头**:设置...

    Apache下htaccess的配置使用详解(转)

    为了防止其他网站直接链接到你的图片资源,你可以设置防盗链规则,只允许来自特定域的请求访问: ```apacheconf (jpg|jpeg|png|gif)$"&gt; RewriteEngine On RewriteCond %{HTTP_REFERER} !^https?://(www\.)?your...

    使用Apache打造完美限制的HTTP下载服务器

    总的来说,通过充分利用Apache的模块化特性,我们可以定制出一个既能保障服务安全又能有效管理资源的下载服务器。这种方法不仅对防止非法访问和滥用,而且对提升用户体验,特别是对网络资源有限的用户来说,都具有...

    Apache优化文档

    10. **防盗链功能**:通过 `mod_rewrite` 或 `mod_evasive` 模块阻止外部网站盗用资源,保护服务器带宽。 11. **禁止目录索引**:使用 `Options -Indexes` 阻止用户通过目录浏览列出文件,增加隐私保护。 12. **...

    Thinkphp家私定制公司企业网站模板

    1. `.htaccess`:这是一个Apache服务器配置文件,用于设置URL重写、防盗链、限制访问等,可以优化网站的SEO(搜索引擎优化)并提高安全性。 2. `favicon.ico`:这是网站的图标,通常显示在浏览器地址栏和收藏夹中,...

    (PC+WAP)帐篷篷房建筑建材定制设计类网站pbootcms模板 临时婚葬帐篷大棚网站模板下载

    - `.htaccess`:在Apache服务器环境下,用于控制URL重写、防盗链、错误页面等,对SEO优化至关重要。 - `favicon.ico`:网站的图标,显示在浏览器地址栏和收藏夹中,增加网站辨识度。 - `api.php`:可能是PbootCMS...

    (PC+WAP)门窗定制pbootcms网站模板 铝合金门窗网站源码

    - `.htaccess`:Apache服务器的配置文件,处理URL重写、防盗链、限制访问等功能。 - `favicon.ico`:网站的图标,显示在浏览器地址栏和书签中。 - `api.php`:可能是用于接口调用的PHP脚本,可能用于数据交互或...

    安康三木园林绿化工程有限公司企业网站源码

    通过配置Apache的httpd.conf文件,可以实现虚拟主机、URL重写、防盗链等高级功能,以满足网站的个性化需求。 源码中可能包含以下关键组成部分: 1. 前端模板:HTML、CSS和JavaScript文件,负责页面的布局和交互效果...

    Apache服务器中.htaccess文件的实用配置示例集锦

    Apache服务器中的`.htaccess`文件是一个非常重要的工具,它允许网站管理员无需直接修改服务器的主配置文件即可控制和定制特定目录的行为。`.htaccess`文件主要用于实现一系列HTTP服务器的指令,如URL重写、访问控制...

    Nginx 应用技术指南

    防盗链是指防止非授权网站直接引用自己网站的内容,如图片、视频等资源。Nginx提供了多种方法来实现防盗链,包括检查HTTP Referer头部信息等。 #### 九、Nginx expires **9.1 根据文件类型expires** 可以通过设置...

    php政府行政事业机关单位网站系统

    - .htaccess:Apache服务器的配置文件,用于URL重写、防盗链等。 总之,PHP政府行政事业机关单位网站系统是一个综合性的平台,它利用PHP技术和相关框架,结合数据库管理,为政府提供了一个高效、安全、用户友好的...

    五个htaccess文件的常用技巧.docx

    总结起来,htaccess文件是网站管理的重要工具,能够实现防盗链、IP限制、错误页面定制以及网站维护期间的临时转向等功能,极大地增强了网站的安全性和用户体验。正确理解和使用这些技巧,可以帮助我们更好地管理和...

Global site tag (gtag.js) - Google Analytics