什么是下载盗链

 
假设我们是一个B站,有些视频资源是可以提供给用户下载的。这时迅雷等其他下载软件,也提供下载该视频的服务,
但是迅雷很不厚道的,将我们的下载资源提供给他的用户,下载。占用我们的带宽来服务他的用户,这是绝对不可以忍了的。
 
使用来源判断根本不靠谱,只能防止一些小白站点的盗链,迅雷之类的下载工具完全无效,如果你是
nginx 的话,使用 secure link 完美解决这个问题,远离迅雷.
 
本文仅用于下载服务器,不适用于图片防盗链.
 
原理

  1. 用户访问 down.php
  2. down.php 根据 secret 密钥、过期时间、文件 uri 生成加密串
  3. 将加密串与过期时间作为参数跟到文件下载地址的后面
  4. nginx 下载服务器接收到了客户端传来的加密串与过期时间,同时自己也使用配置文件里的密钥,也根据过期时间,文件uri 生成自己的加密串
  5. 将用户传进来的加密串与自己生成的加密串进行对比,一致允许下载,不一致 403整个过程实际上很简单,
 
secure link module

 
例子:
location /s/ { 
    secure_link $arg_md5,$arg_expires; 
    secure_link_md5 "$secure_link_expires$uri$remote_addr secret"; 
 
    if ($secure_link = "") { 
        return 403; 
    } 
 
    if ($secure_link = "0") { 
        return 410; 
    } 
 
    ... 
}
secure_link 
  • 实际是由客户端传来的,加密串和过期时间 的变量
  • 当nginx secure_link_md5 指令做完内部检查
    • 前后台的加密串不一致
      • 设置 secure_link = ""
    • 前后台的加密串一致
      • 检查是否过期
        • 过期
          • 设置secure_link="0"
        • 未过期
          • 设置secure_link="1"
 
secure_link_md5
  • 是将所需参数传给后台处理
    • 链接过期时间
    • 链接URI
    • 远程地址
 
 
部署

 
安装
将http_secure_link_module 加到nginx中
不需要下载第三方模块
# ./configure --with-http_secure_link_module \ 
--prefix=/usr/local/nginx-1.4.2 --with-http_stub_status_module 
# make 
# make install
配置nginx
server { 
     listen 80; 
     server_name s1.down.ttlsa.com; 
     access_log /data/logs/nginx/s1.down.ttlsa.com.access.log main; 
     index index.html index.php index.html; 
     root /data/site/s1.down.ttlsa.com; 
     location / { 
          secure_link $arg_st,$arg_e; 
          secure_link_md5 ttlsa.com$uri$arg_e; 
     if ($secure_link = "") { 
          return 403; 
     } 
     if ($secure_link = "0") { 
          return 403; 
     } 
  
     } 
}
 
PHP下载页面
<?php 
# 作用:生成 nginx secure link 链接 
# 站点: www.ttlsa.com 
# 作者:凉白开 
# 时间: 2013-09-11 
$secret = 'ttlsa.com'; # 密钥 
$path = '/web/nginx-1.4.2.tar.gz'; # 下载文件 
# 下载到期时间,time 是当前时间,300 表示 300 秒,也就是说从现在到 300 秒之内文件不过期 
$expire = time()+300; 
# 用文件路径、密钥、过期时间生成加密串 
$md5 = base64_encode(md5($secret . $path . $expire, true)); 
$md5 = strtr($md5, '+/', '-_'); 
$md5 = str_replace('=', '', $md5); 
# 加密后的下载地址 
echo '<a href=http://s1.down.ttlsa.com/web/nginx-1.4.2.tar.gz?st='.$md5.'&e='.$expire.'>nginx-1.4.2</a>'; 
echo '<br>http://s1.down.ttlsa.com/web/nginx-1.4.2.tar.gz?st='.$md5.'&e='.$expire; 
?>
测试
打开 http://test.ttlsa.com/down.php 点击上面的连接下载
下载地址如下:
http://s1.down.ttlsa.com/web/nginx-1.4.2.tar.gz?st=LSVzmZllg68AJaBmeK3E8Q&e=1378881984
页面不要刷新,等到 5 分钟后在下载一次,你会发现点击下载会跳转到 403 页面。
 
注意事项

  • 密钥防止泄露、以及经常更新密钥
  • 下载服务器和 php 服务器的时间不能相差太大,否则容易出现文件一直都是过期状态.
 
 
 
 
 

发布评论
IT序号网

微信公众号号:IT虾米 (左侧二维码扫一扫)欢迎添加!

隐藏Nginx版本号知识解答
你是第一个吃螃蟹的人
发表评论

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。