Nginx - weryfikacja kodu z URL

nagl · January 7, 2011, 12:53am

Chcę by dostęp do pliku był możliwy tylko gdy w parametrze zawarty jest odpowiedni kod, czyli:
http://example.com/picture.jpg #=> błąd 403
http://example.com/picture.jpg?key=AAA #=> błąd 403
http://example.com/picture.jpg?key=ABC #=> 200 ok, transfer

Mam coś takiego, ale nie chce działać:

location ~ \.jpg$ { if ($uri ^~ ABC) { return 403; } root /home/example.com/public_html }
Próbowałem na różne sposoby i nie chce to cholerstwo działać, albo zawsze mam 403 albo zawsze 200. I nie udało mi się znaleźć dokumentacji na temat warunków. Czy ktoś wie, jak wpisać ten config, by działało to tak jak chcę?

radarek · January 7, 2011, 8:04am

Spróbuj

location ~ \.jpg$ { if ($uri !~ ABC) { return 403; } root /home/example.com/public_html }
(jeśli dalej nie działa to zamiast $uri użyj $args).

nagl · January 7, 2011, 10:32am

Dzięki, z $args zadziałało.

Anonymous · January 7, 2011, 9:33pm

Zdajesz sobie sprawę że to dosyć naiwny sposób na zabezpieczenie aplikacji

nagl · January 7, 2011, 9:45pm

To ma być zabezpieczenie przed hotlinkowaniem, kod zmienia się cyklicznie. Weryfikacja po innych danych (referrer, itd.) może być uciążliwa dla części userów.

Anonymous · January 8, 2011, 12:24pm

Okej, teraz trochę nie rozumiem, bo myślałem że cała ideą zabezpieczania przed hotlinkowaniem jest właśnie wyświetlanie obrazka o ile albo nie ma referera albo jest określony.
Jeżeli będziesz rotował kody, to musisz na autoryzowanych stronach generować urla automatycznie, albo im też przestana działać po rotacji.

PS. Sory nie wiem na czym polega twoje rozwiązanie i/lub twój problem dokładnie, dlatego ciężko mi trafić z sugestiami, żeby nie było zupełnie offtopic, upewnij się że dopasowujesz także parametr w zapytaniu, bo inaczej ktoś może spróbować dotrzeć do prawidłowego kodu puszczając po prostu bardzo długiego requesta z maksymalną ilością kombinacji.

nagl · January 8, 2011, 2:48pm

No tak to właśnie działa: co parę godzin zmienia się kod w aplikacji i ładuje się nowy config nginxa, jest to 16 znakowy hash generowany na podstawie czasu. Wiem, że jest to niedoskonałe (ktoś może pobierać nowy kod i wstawiać do swoich hotlinków), ale na chwilę obecną rozwiązało problem z hotlikowaniem. Jeśli będzie potrzeba, to zrobię bardziej wysublimowane zabezpieczenie.

radarek · January 8, 2011, 5:13pm

W czym takie rozwiązanie jest lepsze od sprawdzania referrera?

Tomash · January 8, 2011, 5:58pm

Pewnie w tym że na to ostatnie autor tematu jeszcze nie wpadł

nagl · January 8, 2011, 8:01pm

No dobra, już tłumaczę. Nie jestem ekspertem, ale jest taki problem, że requesty z naszej strony o te pliki (konkretnie chodzi o filmy w .flv) nie mają podanego referera, bo są pobierane przez flashowego playera wstawianego ajaxem. Może da się zachować refererać przy tej operacji, ale skoro aktualnie u nas referery znikają, to taki sam skrypt może wstawić konkurencja, a wtedy sensownie jest dopuścić tylko nasze adresy referer, co uwali naszych użytkowników, którzy ich nie wysyłają.

Tomash · January 9, 2011, 10:29am

A no tak, jeśli flash to dupa zbita – najbardziej kulawa, niepełna i zwyczajnie niepoprawna implementacja http.