使用 NGINX 的 `ngx_http_secure_link_module` 模块保护资源链接

发布于:2025-05-21 ⋅ 阅读:(23) ⋅ 点赞:(0)

一、模块简介

  • 版本:自 NGINX 0.7.18 起引入

  • 功能

    1. 签名校验:对请求 URI 中的签名进行校验,保证链接未经篡改。
    2. 时效控制:根据请求中携带的过期时间,判断链接是否仍在有效期。

  • 启用方式:编译 NGINX 时加入 --with-http_secure_link_module 参数。

二、两种工作模式

1. 简单的“秘密词”模式

  • 指令secure_link_secret word;
  • 原理:在 URL 中以 /前缀/<md5_hex>/<真实路径> 形式传递签名,NGINX 对比签名是否匹配。
  • 优点:配置简单,无需传递过期参数;
  • 缺点:无法控制时效,仅做防篡改。
配置示例
server {
    listen 80;
    server_name example.com;

    # 开启“秘密词”模式,secret 为约定好的密钥
    location /p/ {
        secure_link_secret secret;

        # 签名校验失败返回 403
        if ($secure_link = "") {
            return 403;
        }

        # 内部重写到受保护的真实路径
        rewrite ^ /secure/$secure_link break;
    }

    # 真实资源目录,仅允许内部访问
    location /secure/ {
        internal;
        root /data/protected;
    }
}

  • 签名生成(Linux 下)

    # 真实资源为 /p/link,secret 为 secret
echo -n 'linksecret' | openssl md5 -hex 
# 输出:5e814704a28d9bc1914ff19fa0c4a00a
# 最终访问:
#   http://example.com/p/5e814704a28d9bc1914ff19fa0c4a00a/link

2. 带过期时间的“MD5+Expires”模式

  • 指令

    • secure_link $arg_md5,$arg_expires;
    • secure_link_md5 "<expr> secret";

  • 原理

    1. 从请求参数(如 ?md5=...&expires=...)中提取签名和过期时间;
    2. 使用指定表达式(通常包含 $secure_link_expires, $uri 和密钥)计算 MD5,并与请求中的签名比对;
    3. 如果签名匹配且当前时间 ≤ 过期时间,则 $secure_link=1,否则为 0 或空串;

  • 优点:既能防篡改,又可设置时效;

  • 缺点:需要在 URL 中额外传递 expires 参数,URL 更长一些。

配置示例
server {
    listen 80;
    server_name example.com;

    location /s/ {
        # 提取 md5 签名 和 expires 时间
        secure_link   $arg_md5,$arg_expires;
        # 用 expires + URI + 客户端 IP + secret 组合生成 md5
        secure_link_md5 "$secure_link_expires$uri$remote_addr secret";

        # 签名不匹配(变量为空)拒绝访问
        if ($secure_link = "") {
            return 403;
        }
        # 已过期(变量为“0”)返回 410 Gone
        if ($secure_link = "0") {
            return 410;
        }

        # 校验通过,正常转发或返回静态资源
        root /data/protected;
    }
}

  • 签名生成(Linux 下):

    # 假设当前时间戳为 2147483647,资源 URI 为 /s/link,客户端 IP 为 127.0.0.1,secret 为 secret
data="2147483647/s/link127.0.0.1 secret"
# 计算二进制 MD5 并做 base64url 编码:
openssl md5 -binary <<<"$data" \
  | openssl base64 \
  | tr '+/' '-_' | tr -d '='
# 例如得到 _e4Nc3iduzkWRm01TBBNYw
# 最终访问链接:
#   http://example.com/s/link?md5=_e4Nc3iduzkWRm01TBBNYw&expires=2147483647

三、常见注意事项

  1. 时间同步:确保 NGINX 服务器时间与客户端签名生成时的时间保持一致,可采用 NTP 校时。
  2. 密钥安全secret 或其他密钥不应硬编码在公网上,建议放在受限权限的配置文件中,并定期轮换。
  3. IP 限制:示例中加入了 $remote_addr,可绑定签名与客户端 IP,进一步提高安全性;
  4. 缓存:如果使用了缓存(如 proxy_cachefastcgi_cache),注意签名 URL 往往带不同参数,可能导致缓存失效;
  5. 加密算法:本模块只支持 MD5,若需更强安全可在外部使用更强算法生成签名,并在 NGINX 前端(如 Lua、JS)验证。

四、应用场景

  • 下载加速与防盗链:为用户生成带时效的临时下载链接,避免盗链和过期下载。
  • 视频点播:保护视频流地址,防止链接被无效抓取或分享。
  • 动态接口防滥用:对关键接口生成一次性或限时访问链接,防止机器刷接口。

五、总结

ngx_http_secure_link_module 模块为 NGINX 提供了简单高效的链接保护与时效控制能力。两种模式各有侧重:

  • secure_link_secret:轻量、防篡改
  • secure_link + secure_link_md5:防篡改 + 时效控制

您可以根据业务需求选择合适方案,并结合 IP、UA、Referer 等信息,进一步增强安全性。希望本文对您快速上手并应用该模块有所帮助!如果有任何问题或优化建议,欢迎在评论区讨论。

网站公告

今日签到

点亮在社区的每一天
去签到

热门文章

最新发布