springboot实现文件防盗链设计

shigen坚持更新文章的博客写手,擅长Java、python、vue、shell等编程语言和各种应用程序、脚本的开发。记录成长,分享认知,留住感动。
个人IP:shigen

👋👋👋hello,伙伴们好久不见,最近shigen遇到了很多的事情,现在算是安顿好了,也可以开始技术分享了。但是分享的频率的话,肯定会比之前低的很多,因为我也要正式的学习新的技术了。

来今天的正题:springboot实现图片防盗链。可能看起来场景比较抽象,这里shigen给出之前的一个例子:对象存储服务的流量被盗刷了,当时官方给的解决方案包括我后来采用的方式就是referer的限制。

referer的限制

后来我的对象存储服务的流量就正常了。那今天我也是好奇这个用springboot怎么实现。在接下来的内容中,我将会着重分享我的设计。

首先了解一下Referer是什么吧。

什么是Referer

这里告别充满广告和垃圾网站的搜索引擎,直接GPT查询:

Referer(来源)是HTTP头部字段之一,用于指示客户端是从哪个页面跳转或发起请求的。当客户端(通常是浏览器)向服务器发送请求时,它会在HTTP头部中包含 Referer 字段,告诉服务器请求的来源页面的URL。这个字段可以帮助服务器了解请求的上下文和用户行为,有助于进行数据分析、安全检查等操作。

也就是说请求一个资源的时候,浏览器的请求头信息中会带上Referer字段标示出当下的请求的上一个请求是什么地方来的。

那基于这个原理,我们就可以设计出自己的防盗链。

java代码的设计

基础版

假设我们的springboot项目中可以直接通过http请求访问到某个路径下的资源。我们先这样的尝试吧。我们的配置肯定要实现WebMvcConfigurer这个接口,实现资源的映射。那我就直接展示我的代码:

@Configuration
@EnableWebMvc
@Slf4j
public class MvcConfig implements WebMvcConfigurer {

    /**
     * 静态资源保存目录
     */
    public static final String FILE_RESOURCE_PATH = "file:" + System.getProperty("user.dir") + "/files/";

    @Override
    public void addResourceHandlers(ResourceHandlerRegistry registry) {
        log.error("静态资源保存目录:{}", FILE_RESOURCE_PATH);
        registry.addResourceHandler("/files/**")
                .addResourceLocations(FILE_RESOURCE_PATH);
    }
}

其实我们最终实现的文件路径就是项目根路径/files/文件夹的全部文件。

这样我们就可以通过http请求访问了。

http访问静态资源

但是,明显的我们的资源不是很安全。因为任意来源、任何人都可以访问到它。那我们限制来源的话,这个时候Referer就可以派上用场了。

升级版

升级版本,我们就需要统一拦截一下请求,看看请求头中是否包含Referer信息,且是我们约定的Referer。这样才能判定是正常的请求,进行流量的放行,否则的话就是要去拦截。

接下来先去设计一个拦截器:

@Slf4j
@Component
public class ResourceInterceptor extends HandlerInterceptorAdapter {

    @Resource
    private ReferConfig referConfig;

    /**
     * 匹配的文件种类
     */
    private static final String FILE_REGEX = "\\.(html|css|js|jpg|jpeg|png|gif|bmp|svg|pdf|doc|docx|xls|xlsx|ppt|pptx|mp4|mov)$";
    private static final Pattern FILE_REGEX_PATTERN = Pattern.compile(FILE_REGEX, Pattern.CASE_INSENSITIVE);


    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        // 获取请求的 URL
        String requestUrl = request.getRequestURL().toString();
        log.info("requestUrl:{}", requestUrl);
        // 检查是否是静态资源请求
        if (referConfig.isEnabled() && isStaticResource(requestUrl)) {
            // 检查防盗链策略
            if (!isValidReferer(request)) {
                response.setStatus(HttpServletResponse.SC_FORBIDDEN);
                return false;
            }
        }
        return true;
    }

    /**
     * 正则验证请求的资源
     *
     * @param url 请求资源
     * @return 是否匹配
     */
    private boolean isStaticResource(String url) {
        return FILE_REGEX_PATTERN.matcher(url).find();
    }

    /**
     * 检查 Referer 头,判断请求是否合法
     *
     * @param request 请求
     * @return 是否是合法请求
     */
    private boolean isValidReferer(HttpServletRequest request) {
        String referer = request.getHeader("Referer");
        return CollectionUtil.contains(referConfig.getAllowedOrigins(), referer);
    }
}

具体的业务逻辑的验证都在注释里,这里需要注意:

  1. 关于Referer的配置最好写成动态的,便于后期的拓展
  2. 对于url的请求判断最好使用正则表达式,因为url本身请求的就是静态资源,但是后边带了其他的参数可能导致直接绕过

对于自定的配置类,shigen是这样的设计:

@Configuration
@ConfigurationProperties(prefix = "refer")
@Data
public class ReferConfig {
    /**
     * 是否开启防盗链拦截
     */
    private boolean enabled;
    /**
     * 允许的Referer请求
     */
    private List<String> allowedOrigins;

}

接下来就是配置到拦截器上。

@Configuration
@EnableWebMvc
@Slf4j
public class MvcConfig implements WebMvcConfigurer {

    @Resource
    private UserArgumentResolver userArgumentResolver;

    @Resource
    private ResourceInterceptor resourceInterceptor;

    /**
     * 静态资源保存目录
     */
    public static final String FILE_RESOURCE_PATH = "file:" + System.getProperty("user.dir") + "/files/";

    @Override
    public void addArgumentResolvers(List<HandlerMethodArgumentResolver> resolvers) {
        resolvers.add(userArgumentResolver);
    }

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(resourceInterceptor).addPathPatterns("/**");
    }

    @Override
    public void addResourceHandlers(ResourceHandlerRegistry registry) {
        log.error("静态资源保存目录:{}", FILE_RESOURCE_PATH);
        registry.addResourceHandler("/files/**")
                .addResourceLocations(FILE_RESOURCE_PATH);
    }
}

待一切完成,我们这里再检查一下配置文件就可以正常的启动服务进行测试了。

refer:
  enabled: true
  allowed-origins:
    - http://www.shigen.com

此时,我们再次在浏览器中直接访问:

浏览器中403

这时我们想要正常的访问,就得借助于接口测试工具了。

手动加上Referer

以上就是关于文件防盗链的设计分享,相关代码可参考:新增文件防盗链案例。

与shigen一起,每天不一样!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/630511.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

IO系列(四) - RandomAccessFile 类解读

一、摘要 RandomAccessFile 类&#xff0c;也被称为随机访问文件类。 RandomAccessFile 可以说是 Java 体系中功能最为丰富的文件操作类&#xff0c;相比之前介绍的通过字节流或者字符流接口方式读写文件&#xff0c;RandomAccessFile 类可以跳转到文件的任意位置处进行读写数…

开源连锁收银系统哪个好

针对开源连锁收银系统的选择&#xff0c;商淘云是一个备受关注的候选。商淘云以其功能丰富、易于定制和稳定性等优势&#xff0c;吸引了众多企业和开发者的关注。下面将从四个方面探讨商淘云开源连锁收银系统的优势&#xff1a; 首先&#xff0c;商淘云提供了丰富的功能模块。作…

CNN卷积神经网络初学

1.为什么要学CNN 在传统神经网络中&#xff0c;我们要识别下图红色框中的图像时&#xff0c;我们很可能识别不出来&#xff0c;因为这六张图的位置都不通&#xff0c;计算机无法分辨出他们其实是一种形状或物体。 这是传统的神经网络图&#xff0c;通过权重调整神经元和神经元…

C++学习一(主要对cin的理解)

#include<iostream> int main() {int sum 0, value 0;//读取数据直到遇到文件尾&#xff0c;计算所有读入的值的和while (std::cin >> value){ //等价于sumsumvaluesum value;}std::cout << "Sum is :" << sum << std::endl;sum …

OPC-UA open62541 C++测试代码

初级代码游戏的专栏介绍与文章目录-CSDN博客 我的github&#xff1a;codetoys&#xff0c;所有代码都将会位于ctfc库中。已经放入库中我会指出在库中的位置。 这些代码大部分以Linux为目标但部分代码是纯C的&#xff0c;可以在任何平台上使用。 这是之前写的open62541测试代码…

机器人计算力矩控制

反馈线性化&#xff1a; 反馈线性化是一种控制系统设计方法&#xff0c;其目标是通过状态空间的坐标变换和控制变换&#xff0c;使得非线性系统的输入-状态映射或输入-输出映射反馈等价于线性系统。这样&#xff0c;就可以应用线性系统的控制理论来实现非线性系统的控制。在机…

【Redis】数据类型

Redis数据类型&#xff08;5 3 1&#xff09; 五种基本数据类型 String字符串 特点 二进制安全&#xff0c;可以包含任何数据&#xff0c;如数字&#xff0c;字符串&#xff0c;jpg图片或者序列化的对象 应用场景 缓存&#xff1a; redis作为缓存层&#xff0c;mysql做持…

Java项目:基于ssm框架实现的房屋租售网站管理系统(房屋租赁和房屋出售一体)(B/S架构+源码+数据库+毕业论文+开题+任务书)

一、项目简介 本项目是一套基于ssm框架实现的房屋租售网站管理系统 包含&#xff1a;项目源码、数据库脚本等&#xff0c;该项目附带全部源码可作为毕设使用。 项目都经过严格调试&#xff0c;eclipse或者idea 确保可以运行&#xff01; 该系统功能完善、界面美观、操作简单、…

2024年5月16日 十二生肖 今日运势

小运播报&#xff1a;2024年5月16日&#xff0c;星期四&#xff0c;农历四月初九 &#xff08;甲辰年己巳月庚辰日&#xff09;&#xff0c;法定工作日。 红榜生肖&#xff1a;猴、鼠、鸡 需要注意&#xff1a;牛、兔、狗 喜神方位&#xff1a;西北方 财神方位&#xff1a;…

Py深度学习基础|关于Batch Normalization

1. 为什么需要Batch Normalization 通常我们会在输入层进行数据的标准化处理&#xff0c;这是为了让模型学习到更好的特征。同样&#xff0c;在模型的中间层我们也可以进行normalize。在神经网络中, 数据分布对训练会产生影响。 比如我们使用tanh作为激活函数&#xff0c;当输入…

财富增长新途径:副业赚钱方法全攻略

探寻财富之路:多元化赚钱途径解析 在追求财富的道路上,每个人都在以自己的方式前行。然而,正如古人所云:“君子爱财,取之有道。”今天,我将为您揭示一些新颖且实用的赚钱途径,希望能为您的财富积累之路注入新的活力。 1、视频内容的创作与分享 在这个视频内容为王的时…

ROS 2边学边练(48)-- 将URDF与robot_state_publisher一起使用

前言 本篇将完成一个行走的机器人&#xff0c;并以tf2消息的方式实时发布机器人状态&#xff0c;以便我们在Rviz中同步查看。 首先&#xff0c;我们创建描述机器人装配的URDF模型。接下来&#xff0c;我们编写一个节点&#xff0c;用于模拟运动并发布JointState和位姿变换。然后…

暴力数据结构之二叉树(堆的相关知识)

1. 堆的基本了解 堆&#xff08;heap&#xff09;是计算机科学中一种特殊的数据结构&#xff0c;通常被视为一个完全二叉树&#xff0c;并且可以用数组来存储。堆的主要应用是在一组变化频繁&#xff08;增删查改的频率较高&#xff09;的数据集中查找最值。堆分为大根堆和小根…

Pathlib,一个不怕迷路的 Python 向导

大家好&#xff01;我是爱摸鱼的小鸿&#xff0c;关注我&#xff0c;收看每期的编程干货。 一个简单的库&#xff0c;也许能够开启我们的智慧之门&#xff0c; 一个普通的方法&#xff0c;也许能在危急时刻挽救我们于水深火热&#xff0c; 一个新颖的思维方式&#xff0c;也许能…

vs2019 c++里用 typeid() . name () 与 typeid() . raw_name () 测试数据类型的区别

&#xff08;1&#xff09; 都知道&#xff0c;在 vs2019 里用 typeid 打印的类型不大准&#xff0c;会主动去掉一些修饰符&#xff0c; const 和引用 修饰符会被去掉。但也可以给咱们验证学到的代码知识提供一些参考。那么今天发现其还有 raw_name 成员函数&#xff0c;这个函…

pandas 读取Excel中有行名、列名的数据中的每个元素

读取Excel中有行名、列名的数据中的每个元素,使用pandas,Excel中的内容示例如下&#xff1a; 读取代码如下&#xff1a; def read_xlsx(file ):""" Excel矩阵数据读取 """try:df pd.read_excel(file)# 使用iterrows()方法迭代行for index, ro…

gitlab webhook触发jenkins任务

配置jenkins 安装gitlab插件 配置jenkins job 选择gitlab webhook触发 在高级中生成token 代码仓设置 新增webhook 配置webhook 测试连接 缺点&#xff0c;不能带gitLab事件的参数&#xff01;&#xff01;&#xff01;

如何向全国各大新闻网站投稿?

在信息爆炸的时代,新闻媒体的投稿工作对于单位的信息宣传员来说,既是一项重要的职责,也是一项充满挑战的任务。作为一名信息宣传员,我负责着单位的对外信息宣传投稿工作,每个月都需要在各大媒体上发表文章,以展示单位的成果和风采。 然而,刚开始的投稿之路并不顺畅。我习惯性地…

聊聊数据库索引

一、索引类型介绍 索引是对数据库表中一列或多列的值进行排序的一种结构。 一个非常恰当的比喻就是书的目录页与书的正文内容之间的关系&#xff0c;为了方便查找书中的内容&#xff0c;通过对内容建立索引是对数据库表中一列或多列的值进行排序的一种结构。 索引形成目录。索…

基于Springboot的学生心理压力咨询评判(有报告)。Javaee项目,springboot项目。

演示视频&#xff1a; 基于Springboot的学生心理压力咨询评判&#xff08;有报告&#xff09;。Javaee项目&#xff0c;springboot项目。 项目介绍&#xff1a; 采用M&#xff08;model&#xff09;V&#xff08;view&#xff09;C&#xff08;controller&#xff09;三层体系…