`
sealbird
  • 浏览: 584641 次
  • 性别: Icon_minigender_1
  • 来自: 广州
社区版块
存档分类
最新评论

apache modperl防盗链

阅读更多
2010-09-25 21:41定制Apache的防盗链
网上介绍比较多的防盗链方法是使用reference来识别请求是否来自本站。
但reference的弊端是很容易伪造,随便伪装一下就能让防盗链设置无效。

这里介绍的方法是自己定制Apache的防盗链模块。
一般防盗链要保护的是可供下载的大型文件,如视频、图片等。
这些文件以链接形式嵌入在网页里,通过点击来获取文件的绝对路径。
如果嵌在网页里的文件路径未作任何保护,例如某个视频文件路径是:
http://example.com/1234.rm
那么被盗链的机会是100%。

但如果这个视频文件的路径是:
http://example.com/1234.rm?a=33d591d3ba7ae0cedc99a65f723ad0ea
a=后面是md5加密的验证串。
Apache服务器会获取这个验证串并进行校验,如果合法,则允许下载,否则拒绝访问(403)。
这样一来,别人不知道验证串加密算法,也就不能盗链你的资源了。

这个串由前台网页程序产生,由后台的Apache服务器来进行验证。
这里假定网页程序是PHP,当然也可以是其他任何动态语言如Perl、Python、 Java等。
PHP和下载服务器的Apache模块共同约定此算法。
因为PHP产生一个md5加密串,后台的Apache需要用相同算法产生另一个md5串,并进行相等性比较。
这个串的产生条件,通常包括用户IP、目标文件ID、访问时间、双方约定的ShareKey等。
将这些条件联合起来,并用md5加密成一个串,然后将该串作为参数传给下载服务器的Apache。
Apache获取到请求后,再对这个串进行校验。

如何在Apache端配置这个防盗链模块呢?
这里我使用modperl。modperl是个非常强大的开发工具。
它可以访问Apache内部的所有API,可以在Apache响应处理的各个阶段定制自己的处理器。
mod_rewrite想必很多人都知道它的强大,其实mod_rewrite的所有功能,用modperl也可以轻松的编写出来。
Apache处理一个请求分成很多个阶段,这里我们只要在Access这个阶段做一些处理就够了。
也就是说,在Apache里加载一个处理器,在文件被访问前,由该处理器对验证串进行校验,校验通过才允许访问。

在使用modperl之前,首先需要安装它。
Apache有1.3版本和2.x版本,同样modperl也有1.0版本和2.0版本。
1.0版本已停止开发了,处于维护阶段。
出于更好的性能和安全性考虑,我们使用httpd 2.0和modperl 2.0版本。
modperl需要结合Apache进行安装,并且需要安装libapreq2。
安装过程请见我的另一篇文档:
http://pyh7.spaces.live.com/blog/cns!47D8D44208AC51E5!128.entry

装好modperl后,修改httpd.conf配置文件,增加如下配置:

PerlPostConfigRequire /opt/httpd2/run/startup.pl
<Location /path>
    SetHandler modperl
    PerlAccessHandler DLAuth2
    PerlSetVar ShareKey YourKey
</Location>

第1行的startup.pl是初始配置文件,其作用是:加载处理器的运行目录,和预加载一些类库。
第2行表示/path这个web目录下的文件,都受防盗链保护。
第3行表示设置处理器类型为modperl。
第4行加载Access验证模块,模块名是DLAuth2。
第5行是加密验证串的共享字符串,这个ShareKey也需要告诉前台的网页开发人员。

在Apache的根目录(这里假定是/opt/httpd2)下面创建一个run子目录,将防盗链模块DLAuth2.pm和startup.pl都放在该目录下。
并创建/path这个web根目录(例如/opt/httpd2/htdocs/path),将需要防盗链保护的文件(如视频或图片)放在这个目录下。
也可以将其他文件系统或目录link或mount到/path目录下。

startup.pl内容:

use strict;
use lib qw(/opt/httpd2/run);

#use Apache2::RequestIO ();
use Apache2::RequestRec ();
use Apache2::Connection ();
use Apache2::RequestUtil ();
use Apache2::ServerUtil ();
use Apache2::Log ();
use Apache2::Request ();

1;


DLAuth2.pm内容:

package DLAuth2;

use strict;
use Socket qw(inet_aton);
use POSIX qw(strftime);
use Digest::MD5 qw(md5_hex);

#use Apache2::RequestIO ();
use Apache2::RequestRec ();
use Apache2::Connection ();
use Apache2::RequestUtil ();
use Apache2::ServerUtil ();
use Apache2::Log ();
use Apache2::Request ();

use Apache2::Const -compile => qw(OK FORBIDDEN);

sub handler {

    my $r = shift;
    my $q = Apache2::Request->new($r);
    my $s = Apache2::ServerUtil->server;

    # get request ip
    my $ip = $r->connection->remote_ip;

    # get client's UserAgent
    my $ua = $r->headers_in->{'User-Agent'} || '';

    # convert ip to int
    my $ip_int = ip2int($ip);

    # get share key from config file
    my $shareKey = $r->dir_config('ShareKey') || '';

    # get whitelist ip from config file
    my @passip = $r->dir_config->get('PassAuthIPs');

    # get whitelist UserAgent Keyword from config file
    my @passuakey = $r->dir_config->get('PassUAKeyword');

    # 将白名单IP转换为整数数组
    my @single_ip;
    my @range_ip;

    for (@passip) {
        if (/-/) {
            my ($start,$end) = split/-/;
            my $start_int = ip2int($start);
            my $end_int = ip2int($end);

            push @range_ip,[$start_int,$end_int];

        } else {
            push @single_ip,ip2int($_);
        }
    }

    # 支持IP白名单
    for (@single_ip) {
        return Apache2::Const::OK if $ip_int == $_;
    }

    for (@range_ip) {
        if ( $ip_int >= $_->[0] and $ip_int <= $_->[1] ) {
            return Apache2::Const::OK;
        } 
    }

    # 支持UserAgent白名单
    for (@passuakey) {
        my $key = quotemeta($_);
        return Apache2::Const::OK if $ua =~ /$key/i;
    }

    # 从URL路径得到mid,该函数请自己定制
    my $movieid = getmid($r->uri);

    if ( ! defined $movieid ) {
        $s->log_error("[$ip FORBIDDEN] can't get movieid");
        return Apache2::Const::FORBIDDEN; 
    }

    # get current date
    my $date= strftime("%Y%m%d",localtime);

    # 根据IP、mid、共享字符串、日期产生验证串
    # 通常是md5加密的一个串,该函数请自己定制
    my $key = genAuthString($ip_int, $movieid, $shareKey, $date);

    # 获取请求路径里的验证串
    my $str = $q->param('a') || '';

    # 假如两串相等,则通过
    if ($str eq $key ){
        return Apache2::Const::OK;

    # 否则拒绝并记日志到error_log
    } else {
        $s->log_error("[$ip FORBIDDEN] Auth failed");
        return Apache2::Const::FORBIDDEN;
    }

    # 若未满足任何条件,默认放行
    return Apache2::Const::OK;
}

# 将IP转换为整数的函数
sub ip2int {
    my $ip = shift;
    my $nl = inet_aton($ip);
    die "wrong ip $!" unless defined $nl;

    return unpack('N',$nl);
}

1; 



分享到:
评论

相关推荐

    Apollo Modperl Handler-开源

    Apollo Modperl Handler是一个开源项目,专门设计用于简化Apache服务器上的mod_perl模块的处理过程。Apache mod_perl是Perl语言与Apache HTTP服务器紧密结合的一种方式,它使得Perl代码能够直接在服务器内部运行,...

    Fastcgi 中文参考手册(DOC).rar

    在实际应用中,FastCGI常与流行的Web服务器如Nginx、Apache结合使用。例如,Nginx通常作为反向代理和负载均衡器,将请求转发给后端的FastCGI进程(如PHP-FPM)。这种架构既保持了Nginx处理静态文件的高效,又利用了...

    PERL Quick Reference Card

    modperl是Apache服务器的一个模块,由Doug MacEachern创建,其核心功能是在服务器内部嵌入一个PERL解释器,从而提供了Apache与PERL之间的桥梁。这一模块不仅简化了PERL脚本的运行环境,还增强了Apache服务器的功能性...

    alpaka-开源

    ModPerl 是 Apache HTTP 服务器的一个模块,它允许 Perl 代码直接嵌入到 Apache 中,提升性能和响应速度。Alpaka 的 ModPerl 支持意味着开发者可以利用 Perl 的强大功能,同时享受高性能的 Web 服务。通过将 Perl ...

    cgi.rar_DEMO_cgi

    6. **配置Web服务器**:学会如何在Apache、Nginx等Web服务器上配置CGI支持,包括设置脚本目录、权限和执行权限等。 7. **错误调试**:学习如何调试CGI程序,找出并修复可能出现的问题。 8. **安全性**:理解CGI的...

    znc:ZNC IRC保镖的官方存储库

    modperl: perl及其捆绑的libperl 如果从git构建,则SWIG modpython的: python 3.4+及其捆绑的libpython perl是一个构建依赖项 macOS:Homebrew的Python优先于系统版本 如果从git构建,则SWIG cyrusauth: ...

    轻构学用Perl(第三版)(PDG).rar

    9. **Web开发**:Perl在Web开发中也有广泛的应用,如使用CGI或ModPerl来开发动态网站。书中可能包含使用Perl进行Web编程的基本原理和实践。 10. **脚本和自动化**:Perl是系统管理和自动化任务的理想工具。书中会...

Global site tag (gtag.js) - Google Analytics