下载APP
登录
关闭
讲堂
算法训练营
Python 进阶训练营
企业服务
极客商城
客户端下载
兑换中心
渠道合作
推荐作者
当前播放: 76 | 使用变量实现防盗链功能实践:secure_link模块
00:00 / 00:00
标清
  • 标清
1.0x
  • 2.0x
  • 1.5x
  • 1.25x
  • 1.0x
  • 0.5x
网页全屏
全屏
00:00
付费课程,可试看

Nginx核心知识100讲

共155讲 · 155课时,约1300分钟
18549
免费
01 | 课程综述
免费
02 | Nginx适用于哪些场景?
免费
03 | Nginx出现的历史背景
免费
04 | 为什么用Nginx:它的 5 ...
免费
05 | Nginx的四个主要组成部分
06 | Nginx的版本发布历史
07 | 选择哪一个Nginx发行版本...
08 | 编译出适合自己的Nginx
09 | Nginx配置文件的通用语法...
10 | Nginx命令行及演示:重载...
11 | 用Nginx搭建一个可用的静...
12 | 用Nginx搭建一个具备缓存...
13 | 用GoAccess实现可视化并实...
14 | 从网络原理来看SSL安全协...
15 | 对称加密与非对称加密各自...
16 | SSL证书的公信力是如何保...
17 | SSL协议握手时Nginx的性能...
18 | 用免费SSL证书实现一个HTT...
19 | 基于OpenResty用Lua语言...
20 | Nginx的请求处理流程
21 | Nginx的进程结构
22 | Nginx的进程结构实例演示
23 | 使用信号管理Nginx的父子...
24 | reload重载配置文件的真相
25 | 热升级的完整流程
26 | 优雅地关闭worker进程
27 | 网络收发与Nginx事件间的...
28 | Nginx网络事件实例演示
29 | Nginx的事件驱动模型
30 | epoll的优劣及原理
31 | Nginx的请求切换
32 | 同步&异步、阻塞&非阻塞...
33 | Nginx的模块究竟是什么?
34 | Nginx模块的分类
35 | Nginx如何通过连接池处理...
36 | 内存池对性能的影响
37 | 所有worker进程协同工作的...
38 | 用好共享内存的工具:Slab...
39 | 哈希表的max_size与bucke...
40 | Nginx中最常用的容器:红...
41 | 使用动态模块来提升运维效...
免费
42 | 第三章内容介绍
43 | 冲突的配置指令以谁为准?
44 | Listen指令的用法
免费
45 | 处理HTTP请求头部的流程
46 | Nginx中的正则表达式
47 | 如何找到处理请求的server...
48 | 详解HTTP请求的11个阶段
49 | 11个阶段的顺序处理
50 | postread阶段:获取真实客...
51 | rewrite阶段的rewrite模块...
52 | rewrite阶段的rewrite模块...
53 | rewrite阶段的rewrite模块...
54 | find_config阶段:找到处...
55 | preaccess阶段:对连接做...
56 | preaccess阶段:对请求做...
57 | access阶段:对ip做限制的...
58 | access阶段:对用户名密码...
59 | access阶段:使用第三方做...
60 | access阶段的satisfy指令
61 | precontent阶段:按序访问...
62 | 实时拷贝流量:precontent...
63 | content阶段:详解root和a...
64 | static模块提供的3个变量
65 | static模块对url不以斜杠...
66 | index和autoindex模块的用...
67 | 提升多个小文件性能的conc...
68 | access日志的详细用法
69 | HTTP过滤模块的调用流程
70 | 用过滤模块更改响应中的字...
71 | 用过滤模块在http响应的前...
72 | Nginx变量的运行原理
73 | HTTP框架提供的请求相关的...
74 | HTTP框架提供的其他变量
75 | 使用变量防盗链的referer...
76 | 使用变量实现防盗链功能实...
77 | 为复杂的业务生成新的变量...
78 | 通过变量指定少量用户实现...
79 | 根据IP地址范围的匹配生成...
80 | 使用变量获得用户的地理位...
81 | 对客户端使用keepalive提...
82 | 反向代理与负载均衡原理
83 | 负载均衡策略:round-rob...
84 | 负载均衡哈希算法:ip_has...
85 | 一致性哈希算法:hash模块
86 | 最少连接算法以及如何跨wo...
87 | upstream模块提供的变量
88 | proxy模块处理请求的流程
89 | proxy模块中的proxy_pas...
90 | 根据指令修改发往上游的请...
91 | 接收用户请求包体的方式
92 | 与上游服务建立连接
93 | 接收上游的响应
94 | 处理上游的响应头部
95 | 上游出现失败时的容错方案
96 | 对上游使用SSL连接
97 | 用好浏览器的缓存
98 | Nginx决策浏览器过期缓存...
99 | 缓存的基本用法
100 | 对客户端请求的缓存处理...
101 | 接收上游响应的缓存处理...
102 | 如何减轻缓存失效时上游...
103 | 及时清除缓存
104 | uwsgi、fastcgi、scgi指...
105 | memcached反向代理的用法
106 | 搭建websocket反向代理
107 | 用分片提升缓存效率
108 | open file cache提升系...
109 | HTTP/2协议介绍
110 | 搭建HTTP/2服务并推送资...
111 | gRPC反向代理
112 | stream四层反向代理的7个...
113 | proxy protocol协议与r...
114 | 限并发连接、限IP、记日...
115 | stream四层反向代理处理S...
116 | stream_preread模块取出S...
117 | stream proxy四层反向...
118 | UDP反向代理
119 | 透传IP地址的3个方案
120 | 性能优化方法论
121 | 如何高效使用CPU
122 | 多核间的负载均衡
免费
123 | 控制TCP三次握手参数
免费
124 | 建立TCP连接的优化
125 | 滑动窗口与缓冲区
126 | 优化缓冲区与传输效率
127 | 慢启动与拥塞窗口
128 | TCP协议的keepalive功能
129 | 减少关闭连接时的time_wa...
130 | lingering_close延迟关闭...
131 | 应用层协议的优化
免费
132 | 磁盘IO的优化
133 | 减少磁盘读写次数
134 | 零拷贝与gzip_static模...
135 | 用tcmalloc优化内存分配
136 | 使用Google PerfTools分...
137 | 使用stub_status模块监控...
138 | 第三方模块源码的阅读
139 | Nginx的启动流程
140 | HTTP第三方模块的初始化
141 | if指令是邪恶的吗?
142 | 解读Nginx的核心转储文件
143 | 通过debug日志定位问题
144 | OpenResty概述
145 | OpenResty中的Nginx模块...
146 | 如何在Nginx中嵌入Lua代...
147 | OpenResty中Lua与C代码...
148 | 获取、修改请求与响应的S...
149 | 工具类型的SDK
150 | 同步且非阻塞的底层SDK:...
151 | 基于协程的并发编程SDK
152 | 定时器及时间相关的SDK
153 | share.DICT基于共享内存...
154 | 子请求的使用方法
155 | 基于OpenResty的WAF防火...
本节摘要
展开

精选留言(16)

  • 码农Kevin亮
    2019-05-13
    请教老师,我也不是太理解这个secure_link的实现流程。
    理论上说,一个反向代理服务器可以模拟浏览器的所有请求参数,使得反向代理就是一个浏览器客户端。那么secure_link的校验流程的哪一步可以鉴别出来呢?

    作者回复: secure_link通常锁住以下资源:1、对象,也就是url;2、时间,限制一个token的有效期;3、密钥,只要攻击者不知道密钥就不能伪造新的URL。
    所以,作为反向代理即使拿到了url,但这个URL只能访问资源A,并不能访问资源B,而且还有时效性。

    1
  • Hana
    2019-04-05
    echo -n 'test1.txtmysecret2' | openssl md5 -hex 这个命令中的密钥不应该是'testq.textmysecret2' 本身么,为啥后面匹配的时候是‘mysecret2',nginx 怎么知道怎么分割?

    作者回复: nginx不需要知道如何分割,它只需要知道如何拼接即可,因为hash不可逆!Nginx能从URI中取出test1.txt,也能从location中找到mysecret2,接着拼接好字符串再hash出值,比对即可

    1
  • lxin131
    2019-01-03
    老师你好,在视频的11:38的时候的那个rewrite我没有看明白,rewrite不是应该跟一个正则表达式和一个跳转的location吗,为什么^后面没有正则表达式呢?

    作者回复: ^可以匹配上任何url,而且当前场景也不需要从url中取出一些分组的值,故如此使用。

    1
  • call
    2019-12-10
    是否可以理解为
    我有一个网站a 用户为 b 盗链网站为c
    如果静态页面html引用url(如html里的<a href>) 此处的链接必须是加密后的链接 写死到html文件里
    但是没发区分 b和c的地址(不可能每一个新的用户 回去生成一套新的静态文件)
    如果需要完成连接过时(需要后台定时刷新静态文件)
    如果动态页面引用url 每次返回时 a都会调用该加密过程 或访问加密服务器 返回加密后的url替代返回的jsp之类里引用的url(其中加密用到b的地址之类)
    此时如果有一个网站c 盗链你某个图片之类 他储存时使用的是c的地址加密后的url b去访问c的
    由于远端地址(c和b ip不同)时间等不一样生成 加密后地址不一 效验失败
    如果c返回的网页 使用iframe 直接连接引用整个网站页面 请求是有b发出的 还是可以解析的吧

    不知道这样理解是否正确
    展开
  • 星极
    2019-11-07
    老师您好,我看到你改变时间戳后访问链接就失效了,那怎样才可以指定一个更长的失效时间呢,比如1分钟

    作者回复: 视频中我只演示了哈希不匹配导致的链接失效,虽然我改的是时间戳,但md5参数我没改,所以哈希后不匹配导致失败,返回403.
    那个时间戳表示的是绝对的过期时间,如果我把时间改为系统当前时间之前,md5也随之改动,那么md5虽然匹配上了,但参数中的时间戳小于当前时间,就会返回410.
    所以,想改变失效时间,应该在生成URL(主要是时间戳和md5)上做变更。

  • 清须须
    2019-09-23
    我的疑问是,服务器生成的含有MD5值的安全链接怎么给到客户端,然后客户端再去调用呢?

    作者回复: A服务器负责给出安全链接,它通过API或者HTML等方式给到浏览器;浏览器访问安全链接要到B服务器,也就是本节介绍的Nginx

  • 猫王者
    2019-08-19
    第二个例子中的prefix是干嘛用的,为什么要带上prefix,视频里也没用到prefix啊
  • Hector
    2019-08-17
    之前自己玩爬虫的时候,有的翻译网页必做做防盗链。他们是将秘钥直接放在js代码中,js好几万行各种乱七八糟的混淆代码掩盖秘钥,然后使用秘钥和时间戳再加其他参数混合再MD5加密访问后端服务器。本课中的场景相似,不过是有的会将这个加密过程放在另一个服务器,先拿正常的访问uri经过加密服务器返回给客户端浏览器一个加密处理过后的uri对吗?这样的意义在什么地方呢?我要是爬虫的话也可以去加密服务器获取加密uri

    作者回复: 第1次访问用来获取下载uri的页面,这样的页面通常是要做cookie鉴权的,爬虫不做登录通常获取不到下载uri

  • ~尘曦~
    2019-07-13
    老师问一下我测试的时候这么生成的字符串[root@python vhast]# echo -n '52656565776/test1.txt192.168.183.4 secret' | openssl md5 -binary | openssl base64 | tr +/ - | tr -d =
    edB-pK1jnmQKtBF354EfJA

    这么测试的时候报403错误;不知道哪里出问题了
    curl 'secure_link.com/test1.txt?md5=edB-pK1jnmQKtBF354EfJA&expires=52656565776'
    jhjkhjhj
    配置文件是这样的
    server {
        server_name secure_link.com;
        access_log logs/secure.log main;
        error_log logs/secure_error.log info;
        location /{
                secure_link $arg_md5,$arg_expires;
                secure_link_md5 "$secure_link_expires$uri$remote_addr secret";

                if ($secure_link = "") {
                 return 403 "jhjkhjhj\n";
                }

                if ($secure_link = "0") {
                    return 410;
                }

            return 200 '$arg_md5,$arg_expires\n';
        }
        location /p/ {
            secure_link_secret mysecret2;
            if ($secure_link = "") {
                return 401;
            }
            
        }
    }
    展开
  • Oops
    2019-05-20
    老师您好,在演示的两个示例中;第一个示例$secure_link 这个变量的值:可能为 空、0、1 这三种结果。而第二示例中$secure_link的值:非空 字符串(URI中link那一部分的值)或者 空字符串 ,我是否可以这样理解?

    作者回复: 是的,这是两种不同的模式,详见http://nginx.org/en/docs/http/ngx_http_secure_link_module.html

  • Hana
    2019-04-05
    老师,不明白的是,seculre_link 命令 后面带的请求参数,它是怎么判断是否与原始哈希匹配与否的,http模块就没有存储相关的变量啊。

    作者回复: 因为nginx拥有原始hash,也有生成原始哈希所需要的值(在url中),包括配置文件中的密钥。所以再次生成哈希并比较即可

  • 哈神
    2019-03-21
    老师,域名abc.com的默认地址跳转到abc.com/test
  • leitiannet
    2019-02-10
    使用secure_link_module实现防盗链时,有两点疑问:
    (1)Nginx每次都需要获取当前时间与expires进行比较判断是否过期?
    (2)链接由服务器生成,按理也应该由服务器进行校验,为什么放在Nginx进行校验,是否会影响Nginx性能?

    作者回复: 1、是的;
    2、影响非常小。

  • 阮军
    2019-01-31
    在视频的11:38的时候的那个rewrite我没有看明白,那个^匹配上家不会在往下走了对吧

    作者回复: 是的,直接内部跳转到location /secure/中了

  • kaiyuanheshang
    2019-01-03
    这个的原理是生成一个下载的 token,用户访问的时候 nginx 来验证这个 token 就可以了

    作者回复: 没错!

  • 风行传说
    2018-12-27
    老师,看完这个视频后,如何将secert_link应用到生产环境中,现在还是一头雾水,总不能每次的访问请求都用md5先只做好相关的信息再进行请求吧?

    作者回复: 是的,所以它依赖于下载页面,这个页面中的下载URL都是通过这个规则生成的。这个模块一定要配合应用服务一起工作的。

去订阅《Nginx核心知识100讲》