坑爹的 NGINX Secure Link Module:入坑到出坑全流程详细解析及认证无效解决

原创 已于 2025-08-06 16:43:45 修改 · 1k 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#nginx #运维

于 2025-08-06 16:41:24 首次发布

优快云 @chinalogs (HiFeiz)

NGINX 的 secure_link 模块看上去很简单,实则暗藏杀机。一不小心就会掉进它的陷阱,最终造成调试时间飙升,宕机风险倍增,项目进度直接延期。

本文记录我在项目中如何踩了它的坑,又是怎么一点点排查出来,最终完成正确配置,并用 PHP、Python、ASP、JSP、Node.js 等语言生成兼容的签名。

一、需求背景

在实际场景中,我们希望限制静态资源的访问权限,比如视频 .ts.m3u8.mp4 等,仅允许带签名、并在有效期内的请求通过,防止盗链与滥用。

目标路径:/storage/** 中的静态媒体资源。

签名规则设定如下:

签名字符串 = 请求完整文件路径(含文件名)+ 用户标识 + 客户端 IP + 过期时间戳

最终签名通过 URL 参数传递,例如:

https://cdn.example.com/storage/media/2025/abcde/index.m3u8?sect=1754431234&secs=xxxxxxx&secy=chinalogs

二、NGINX Secure Link Module 简介

NGINX 的 ngx_http_secure_link_module 是一个轻量、无状态的 URL 保护机制。

它支持以下指令:

secure_link <string1>[,<string2>];
secure_link_md5 <expression>;

原理:

  • 从 URL 参数中读取签名(如 $arg_secs)和过期时间(如 $arg_sect

  • 根据 secure_link_md5 提供的表达式进行签名计算

  • 若签名一致,且时间未过期,则允许访问

但这里隐藏了一个非常隐蔽的问题:

secure_link_md5 生成的是二进制 MD5,经 Base64URL 编码后进行匹配

如果你在后台代码里直接用十六进制字符串(如 md5(...))),则一定会出错。

三、错误示例(签名无法匹配)

假设签名字符串如下:

/storage/media/2025/abcde/index.m3u8chinalogs127.0.0.11754431234

错误做法:

$sign = md5($sign_str); // 输出十六进制字符串

Nginx 无法识别 hex 字符串,它期望的是 base64url 编码的二进制 MD5 值

结果就是:

  • 签名永远不匹配

  • nginx 返回 403 Forbidden

日志里你看不到任何错误,但请求被无情拒绝。

四、正确 NGINX 配置示例

location ~ ^/storage/.*\.(ts|m3u8)$ {
    # CORS 支持
    add_header 'Access-Control-Allow-Origin' $http_origin;
    add_header 'Access-Control-Allow-Credentials' 'true';

    # 跳过检查直接预览
    if ($arg_jump = "1") {
        break;
    }

    # 安全链接验证
    secure_link $arg_secs,$arg_sect;

    # 完整路径(含文件名)
    set $full_path $uri;

    set $sidkey $arg_secy;
    set $ip $remote_addr;

    # 生成签名
    secure_link_md5 "$full_path$sidkey$ip$arg_sect";

    if ($secure_link = "") {
        return 403;
    }

    if ($secure_link = "0") {
        return 410;
    }
}

五、签名计算的关键点

为了能正确匹配 nginx 内部签名,需要注意以下几点:

项目要求
哈希算法MD5,输出为二进制
编码方式Base64URL(不是 hex,也不是普通 base64)
Base64URL 说明+-/_,去掉末尾的 =

六、签名构造格式

假设请求 URL 为:

/storage/media/2025/abcde/index.m3u8?sect=1754431234&secs=xxxxxx&secy=chinalogs

签名字符串为:

/storage/media/2025/abcde/index.m3u8chinalogs127.0.0.11754431234

然后将该字符串:

  1. 用 MD5 算法,得到二进制输出(不是 hex)

  2. 再进行 base64url 编码

七、多语言签名生成示例

1. PHP 示例

<?php
$path = "/storage/media/2025/abcde/index.m3u8";
$user = "chinalogs";
$ip = "127.0.0.1";
$expire = "1754431234";

$raw = $path . $user . $ip . $expire;
$binary = md5($raw, true);
$sign = rtrim(strtr(base64_encode($binary), '+/', '-_'), '=');

echo "secs={$sign}";
// 优快云 @chinalogs (HiFeiz)

2. Python 示例

import hashlib
import base64

path = "/storage/media/2025/abcde/index.m3u8"
user = "chinalogs"
ip = "127.0.0.1"
expire = "1754431234"

raw = f"{path}{user}{ip}{expire}"
digest = hashlib.md5(raw.encode()).digest()
sign = base64.urlsafe_b64encode(digest).decode().rstrip('=')

print(f"secs={sign}")
# 优快云 @chinalogs (HiFeiz)

3. ASP 示例

<%
Dim str, md5, bytes, obj, sign
str = "/storage/media/2025/abcde/index.m3u8" & "chinalogs" & "127.0.0.1" & "1754431234"

Set obj = Server.CreateObject("System.Security.Cryptography.MD5CryptoServiceProvider")
Set enc = Server.CreateObject("System.Text.UTF8Encoding")
bytes = enc.GetBytes_4(str)
binaryHash = obj.ComputeHash_2(bytes)

Set conv = Server.CreateObject("MSXML2.DomDocument").createElement("tmp")
conv.dataType = "bin.base64"
conv.nodeTypedValue = binaryHash
sign = Replace(Replace(Replace(conv.text, "+", "-"), "/", "_"), "=", "")

Response.Write "secs=" & sign
%>
' 优快云 @chinalogs (HiFeiz)

4. JSP 示例

<%@ page import="java.security.*, java.util.Base64" %>
<%
String raw = "/storage/media/2025/abcde/index.m3u8" + "chinalogs" + "127.0.0.1" + "1754431234";
MessageDigest md = MessageDigest.getInstance("MD5");
byte[] digest = md.digest(raw.getBytes());
String sign = Base64.getUrlEncoder().withoutPadding().encodeToString(digest);

out.println("secs=" + sign);
%>
// 优快云 @chinalogs (HiFeiz)

5. Node.js 示例

const crypto = require('crypto');

const path = "/storage/media/2025/abcde/index.m3u8";
const user = "chinalogs";
const ip = "127.0.0.1";
const expire = "1754431234";

const raw = path + user + ip + expire;
const hash = crypto.createHash('md5').update(raw).digest();
const sign = hash.toString('base64')
  .replace(/\+/g, '-')
  .replace(/\//g, '_')
  .replace(/=+$/, '');

console.log(`secs=${sign}`);
// 优快云 @chinalogs (HiFeiz)

八、调试技巧

你可以在 nginx 中添加一些调试 Header:

add_header X-Debug-URI $uri;
add_header X-Debug-IP $remote_addr;
add_header X-Debug-Full-Path $full_path;
add_header X-Debug-SID $sidkey;
add_header X-Debug-Timestamp $arg_sect;

方便在浏览器开发者工具中观察 nginx 实际拿到的值,确保签名字符串拼接正确。

九、总结

坑点回顾:

  • ❌ 错误使用 md5 十六进制字符串

  • ✅ 正确使用 MD5 的二进制输出 + base64url 编码

这个问题极其隐蔽,日志没错误,调试没提示,唯一的反馈是 403 Forbidden,非常坑爹。

希望本文对你避坑有帮助,也欢迎在 优快云 上关注我 👉 @chinalogs (HiFeiz)

💬 欢迎留言讨论。

Nginx实现反向代理:详细配置与代码注释
热门推荐
java专栏
04-17 3万+
Nginx是一款高性能的HTTP和反向代理服务器,常用于负载均衡、缓存、SSL终止、静态内容服务以及作为应用程序的反向代理。本文将详细介绍如何使用Nginx实现反向代理功能,包括基本配置、高级特性以及示例代码和详尽注释,以帮助您全面理解和应用Nginx的反向代理能力。
12、Nginx高级之高级模块(secure_link/secure_link_md5)
无痕的博客
06-14 3520
ngx_http_secure_link_module模块用于检查所请求链接的真实性,保护资源免受未经授权的访问,并限制链接寿命。
Nginx secure_link防盗链模块
梨子心
08-05 5773
Nginx 有很多很不错的模块,其中ngx_http_secure_link_module模块是用于下载服务器防盗链,该模块能够检查请求链接的权限以及是否过期。 原理:通过对比经过计算来的链接参数的校验值,如果该链接具有时效性,则判断是否过期 http://nginx.org/en/docs/http/ngx_http_secure_link_module.html#secure_link_
nginx 多组件安装及secure_link配置与文件下载防盗链的使用(JAVA)
曾经沧海难为水的博客
06-07 5226
前言 防盗链的重要性无需多言,nginx本身提供了secure_link来完成防盗链功能,那么java如何来与secure_link交互呢? 安装nginx #下载nginx 到 /software tar xzvf nginx.tar.gz #进nginx 目录 ./configure .make & make install 安装nginx secure_link ./con
已有nginx添加http_secure_link_module
cainiaoxianfeng的博客
10-09 815
已有nginx添加http_secure_link_module, 配置secure_link_secret
Nginx的模块http_secure_link_module
weixin_30485379的博客
03-13 491
此模块是nginx的第三方模块,在编译的时候直接添加就可以了,此模块可以做防盗链 /usr/local/nginx/sbin/nginx -V nginx version: nginx/1.13.9 built by gcc 4.4.7 20120313 (Red Hat 4.4.7-18) (GCC) built with OpenSSL 1.0.1e-fips 11 Feb 2013 ...
Nginx开启TLS双向认证流程及配置
ChinaCpp666的博客
05-28 3946
是一种可选的优化方案,可以减少握手的长度。它通常用于客户端和服务器之间已经建立了信任的情况下。是客户端和服务器共同协商生成的一个用于加密通信数据的对称密钥。是临时性的,只在会话期间存在,不会存储在客户端或服务器上。的长度通常为256位,但这取决于所使用的密码套件。被泄露,攻击者可能会窃听或篡改通信数据。是否会存储在客户端或服务器上?被泄露,会有什么后果?在TLS握手过程中,
Nginx 配置与优化:常见问题全面解析
小白的博客
07-26 4885
Nginx 是一个高性能的 HTTP 和反向代理服务器,也是一个 IMAP/POP3/SMTP 代理服务器。由于其高效性和灵活性,Nginx 在网站服务器领域得到了广泛应用。然而,在实际使用中,用户可能会遇到各种问题。本文将介绍一些常见的 Nginx 问题及其解决方法。
Nginx安全链接模块-secure_link_modulem
SZStudy的博客
11-23 1144
#secure_link_modulem #一、制定并允许检查请求的链接的真实性以及保护资源免遭未经授权的访问 #二、限制链接生效的周期、 #配置语法 Syntax: secure_link expression; Default : —— Context:http,server,location Syntax: secure_link_md5 expression; Default : —— ...
使用Nginxsecure_link 模块保护资源的安全性
你知道莽村的莽怎么来的吗!
05-29 949
secure_link 模块允许创建安全链接,以确保只有经过授权的用户才能访问特定的资源。它通过在 URL 中添加签名参数来实现这一点,这些签名参数包含了对请求进行身份验证所必需的信息。通过 Nginx secure_link 模块,可以提高应用程序对资源访问的控制,防止未经授权的访问和盗链。这个模块不仅提供了基本的安全性保护,还可以根据需要进行高度定制,适应各种复杂的应用场景。希望本篇博客能帮助您更好地理解和使用 Nginx secure_link 模块,保护您的 Web 资源安全。
Nginx--secure_link和geoip_module
Chasing__Dreams的博客
11-05 277
secure_link_module 1、 指定并允许检查请求的连接的真实性以及保护资源免遭未经授权的访问。 限制连接生效 2、secure_link_module配置语法 示例: geoip_module 1、 基于IP地址匹配MaxMindGeoIP二进制文件,读取IP所在地域信息。 yum install nginx-module-geoip 2、使用场景 区别国内外作http访...
Nginx学习笔记——Secure_link模块
shen的博客
10-31 4869
作用 (1)指定并允许检查请求的链接的真实性以及保护资源免遭未经授权的访问 (2)限制链接生效周期 配置语法 Syntax:secure_link expression; Default:默认无 Context:http,server,location Syntax:secure_link_md5 expression; Default:默认无 Context:http,server,locat...
Nginx官方文档(三十一)【ngx_http_secure_link_module|ngx_http_session_log_module
极客神殿
09-23 878
ngx_http_secure_link_module 指令 secure_link secure_link_md5 secure_link_secret 内嵌变量 ngx_http_secure_link_module 模块(0.7.18)用于检查请求链接的真实性,保护资源免受未经授权的访问,并限制链接有效时长。 通过将请求中传递的校验和值与为请求计算的值进行比较,验证所请求链接的真实性。如果链接有效时长有限且时间已过,则链接将被视为过期。这些检查的状态在 $secure_link 变量中可用。
使用 NGINX 的 `ngx_http_secure_link_module` 模块保护资源链接
最新发布
hello.reader
05-19 1204
在实际生产环境中,我们常常需要对静态资源(如下载链接、视频流、图片)进行保护,防止链接被恶意盗链或超时使用。NGINX 提供了 `ngx_http_secure_link_module` 模块,可以通过校验请求中的签名和过期时间来实现链接的授权访问和时效控制。本文将带您深了解该模块的两种工作模式,并给完整配置示例。
14. Nginx Secure Link
w7570061的博客
03-30 389
用于校验资源请求的合法性 server { listen 3300; server_name www.siguoya.name; root /usr/local/nginx/1.12.1/html; location / { secure_link $arg_md5,$arg_expires; ...
使用nginx secure_link指令实现下载防盗链
weixin_34362991的博客
04-06 351
一、安装nginx并检查是否已安装模块 [root@img_server ~]# nginx -V #输nginx所有已安装模块,检查是否有ngx_http_secure_link_module 二、配置nginx [root@img_server ~]# vim /etc/nginx/conf.d/dowm_img_safe.conf server { ...
Nginx http_secure_link_module 实现下载防盗链
小楼一夜听春雨,深巷明朝卖杏花
05-08 2095
secure_link 模块 下载服务器上有众多的软件资源, 可是很多来源不是本站,是迅雷、 flashget, 源源不断的带宽,防盗链绝对是当务之急. 使用来源判断根本不靠谱,只能防止一些小白站点的盗链,迅雷之类的下载工具完全无效,如果你是nginx 的话,使用 secure link 完美解决这个问题,远离迅雷.本文仅用于下载服务器,不适用于图片防盗链。 该模块主要实现下面两个功能: ...
Nginx高级之高级模块(secure_link/secure_link_md5/geoip_module)
C8WATER
11-25 1745
高级阶段回顾: Nginx高级之Rewrite规则 secure_link/secure_link_md5模块 制定并允许检查请求的链接的真实性以保护资源免遭未授权的访问 / 限制链接生效的周期 安全模块应用场景模型 模块配置语法 systax: secure_link [表达式] default: 无配置 context: http域/server域/location域 m...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值