我要评论来今天的正题:springboot实现图片防盗链。可能看起来场景比较抽象,这里shigen给出之前的一个例子:对象存储服务的流量被盗刷了,当时官方给的解决方案包括我后来采用的方式就是referer的限制。
后来我的对象存储服务的流量就正常了。那今天我也是好奇这个用springboot怎么实现。在接下来的内容中,我将会着重分享我的设计。
首先了解一下referer是什么吧。
什么是referer
这里告别充满广告和垃圾网站的搜索引擎,直接gpt查询:
referer(来源)是http头部字段之一,用于指示客户端是从哪个页面跳转或发起请求的。当客户端(通常是浏览器)向服务器发送请求时,它会在http头部中包含 referer 字段,告诉服务器请求的来源页面的url。这个字段可以帮助服务器了解请求的上下文和用户行为,有助于进行数据分析、安全检查等操作。
也就是说请求一个资源的时候,浏览器的请求头信息中会带上referer字段标示出当下的请求的上一个请求是什么地方来的。
那基于这个原理,我们就可以设计出自己的防盗链。
java代码的设计
基础版
假设我们的springboot项目中可以直接通过http请求访问到某个路径下的资源。我们先这样的尝试吧。我们的配置肯定要实现webmvcconfigurer这个接口,实现资源的映射。那我就直接展示我的代码:
@configuration
@enablewebmvc
@slf4j
public class mvcconfig implements webmvcconfigurer {
/**
* 静态资源保存目录
*/
public static final string file_resource_path = "file:" + system.getproperty("user.dir") + "/files/";
@override
public void addresourcehandlers(resourcehandlerregistry registry) {
log.error("静态资源保存目录:{}", file_resource_path);
registry.addresourcehandler("/files/**")
.addresourcelocations(file_resource_path);
}
}
其实我们最终实现的文件路径就是项目根路径/files/文件夹的全部文件。
这样我们就可以通过http请求访问了。
但是,明显的我们的资源不是很安全。因为任意来源、任何人都可以访问到它。那我们限制来源的话,这个时候referer就可以派上用场了。
升级版
升级版本,我们就需要统一拦截一下请求,看看请求头中是否包含referer信息,且是我们约定的referer。这样才能判定是正常的请求,进行流量的放行,否则的话就是要去拦截。
接下来先去设计一个拦截器:
@slf4j
@component
public class resourceinterceptor extends handlerinterceptoradapter {
@resource
private referconfig referconfig;
/**
* 匹配的文件种类
*/
private static final string file_regex = "\.(html|css|js|jpg|jpeg|png|gif|bmp|svg|pdf|doc|docx|xls|xlsx|ppt|pptx|mp4|mov)$";
private static final pattern file_regex_pattern = pattern.compile(file_regex, pattern.case_insensitive);
@override
public boolean prehandle(httpservletrequest request, httpservletresponse response, object handler) throws exception {
// 获取请求的 url
string requesturl = request.getrequesturl().tostring();
log.info("requesturl:{}", requesturl);
// 检查是否是静态资源请求
if (referconfig.isenabled() && isstaticresource(requesturl)) {
// 检查防盗链策略
if (!isvalidreferer(request)) {
response.setstatus(httpservletresponse.sc_forbidden);
return false;
}
}
return true;
}
/**
* 正则验证请求的资源
*
* @param url 请求资源
* @return 是否匹配
*/
private boolean isstaticresource(string url) {
return file_regex_pattern.matcher(url).find();
}
/**
* 检查 referer 头,判断请求是否合法
*
* @param request 请求
* @return 是否是合法请求
*/
private boolean isvalidreferer(httpservletrequest request) {
string referer = request.getheader("referer");
return collectionutil.contains(referconfig.getallowedorigins(), referer);
}
}
具体的业务逻辑的验证都在注释里,这里需要注意:
- 关于
referer的配置最好写成动态的,便于后期的拓展 - 对于url的请求判断最好使用正则表达式,因为url本身请求的就是静态资源,但是后边带了其他的参数可能导致直接绕过
对于自定的配置类,shigen是这样的设计:
@configuration
@configurationproperties(prefix = "refer")
@data
public class referconfig {
/**
* 是否开启防盗链拦截
*/
private boolean enabled;
/**
* 允许的referer请求
*/
private list<string> allowedorigins;
}
接下来就是配置到拦截器上。
@configuration
@enablewebmvc
@slf4j
public class mvcconfig implements webmvcconfigurer {
@resource
private userargumentresolver userargumentresolver;
@resource
private resourceinterceptor resourceinterceptor;
/**
* 静态资源保存目录
*/
public static final string file_resource_path = "file:" + system.getproperty("user.dir") + "/files/";
@override
public void addargumentresolvers(list<handlermethodargumentresolver> resolvers) {
resolvers.add(userargumentresolver);
}
@override
public void addinterceptors(interceptorregistry registry) {
registry.addinterceptor(resourceinterceptor).addpathpatterns("/**");
}
@override
public void addresourcehandlers(resourcehandlerregistry registry) {
log.error("静态资源保存目录:{}", file_resource_path);
registry.addresourcehandler("/files/**")
.addresourcelocations(file_resource_path);
}
}
待一切完成,我们这里再检查一下配置文件就可以正常的启动服务进行测试了。
refer:
enabled: true
allowed-origins:
- http://www.shigen.com
此时,我们再次在浏览器中直接访问:
这时我们想要正常的访问,就得借助于接口测试工具了。
以上就是springboot实现文章防盗链的代码设计的详细内容,更多关于springboot文章防盗链的资料请关注代码网其它相关文章!
发表评论