保护Rails应用程序中的public / content内容
我正在维护一个Rails应用程序,其中包含公共/文件夹中的内容,现在需要通过登录进行保护。我们正在考虑将这些文件夹移到public / public之外的路径中,并编写一个Rails控制器来提供内容。
在我们开始写这篇文章之前,我很好奇是否有其他人遇到过这类问题?我找了一些可能已经这样做但没有找到任何东西的宝石/插件。有人为此创造了一个宝石吗?
5 个答案:
答案 0 :(得分:16)
我在人们付费下载某些文件的网站上完成了此操作,这些文件存储在RAILS_ROOT/private中。首先要知道的是,您希望Web服务器处理发送文件,否则您的应用程序将被阻止传输大文件,如果您有任何类型的下载量,这将很快使您的网站停止。因此,如果您需要检查控制器中的授权,那么您还需要一种方法将下载控制权传递回Web服务器。执行此操作(我知道)的最佳方法是X-Sendfile标头,它由Nginx,Apache(带模块)和其他人支持。配置X-Sendfile后,当您的Web服务器从您的应用程序收到X-Sendfile标头时,它会接管将文件发送到客户端。
一旦你的Web服务器使用了X-Sendfile,这样的私有控制器方法很有帮助:
##
# Send a protected file using the web server (via the x-sendfile header).
# Takes the absolute file system path to the file and, optionally, a MIME type.
#
def send_file(filepath, options = {})
options[:content_type] ||= "application/force-download"
response.headers['Content-Type'] = options[:content_type]
response.headers['Content-Disposition'] = "attachment; filename=\"#{File.basename(filepath)}\""
response.headers['X-Sendfile'] = filepath
response.headers['Content-length'] = File.size(filepath)
render :nothing => true
end
然后您的控制器操作可能如下所示:
##
# Private file download: check permission first.
#
def download
product = Product.find_by_filename!(params[:filename])
if current_user.has_bought?(product) or current_user.is_superuser?
if File.exist?(path = product.filepath)
send_file path, :content_type => "application/pdf"
else
not_found
end
else
not_authorized
end
end
显然,您的授权方法会有所不同,如果您提供的文件不是PDF,或者您希望在浏览器中查看该文件(删除application/force-download内容类型),则需要更改标题
答案 1 :(得分:2)
您可以使用Amazon S3。您可以使用控制器生成并提供安全区域后面的URL,并且它还具有一个功能,该功能在生成URL后基本上只使资源可用一段时间。
查看此网址:http://docs.amazonwebservices.com/AmazonS3/2006-03-01/index.html?RESTAuthentication.html
答案 2 :(得分:1)
nginx不支持AFAIK,X-SendFile。 Nginx有自己的扩展允许这个,称为X-Accel-Redirect。
您可以在此处找到有关此内容的更多信息: https://www.nginx.com/resources/wiki/start/topics/examples/xsendfile/
还有一个rails插件实现了这个功能,在github上:goncalossilva/X-Accel-Redirect
答案 3 :(得分:0)
如果您想将内容传送与Rails身份验证和授权系统联系起来,那么您必须将内容放在控制器后面。
如果您正在寻找更简单的登录方法,您可以使用HTTP身份验证和托管环境中的设置来处理它(例如,使用htaccess)。
答案 4 :(得分:0)
以不可预知的网址提供文件是目前在某些生产系统中使用的简单解决方案。
例如:GitLab。以下图片已上传到私人存储库https://gitlab.com/cirosantilli/test-private/issues/1的问题,但您仍可以看到它:
请注意,自动添加到网址中的不可引用的90574279de前缀。
Bitbucket(非Rails)也使用这种技术。
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?