OSS在private权限下的无参数访问(Nginx反向代理实现) ...

最新推荐文章于 2025-06-05 16:15:54 发布
转载 最新推荐文章于 2025-06-05 16:15:54 发布 · 1.5k 阅读 · 4 ·
CC 4.0 BY-SA版权
原文链接:https://yq.aliyun.com/articles/694469
文章标签:

#运维

本文介绍利用nginx反向代理实现private权限下无参数访问oss资源。运行环境为Centos7系统 + nginx 1.14.1,前期需安装nginx的njs模块、创建脚本文件、修改nginx相关配置文件,最后重启nginx,即可在浏览器正常访问oss资源。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

本文主要介绍内容

oss默认权限策略是private,当修改到public-read或更高权限时会提示存在安全风险。如果需要访问oss资源需要在地址上添加签名内容,不利于地址的存储和使用。本文会介绍如何利用nginx反向代理实现private权限下无参数访问oss资源。

运行环境说明

本文实现环境是:
Centos7 系统 + nginx: 1.14.1

前期准备工作

  • nginx安装njs模块(使用yum安装,也可源码编译安装)

yum install nginx-module-njs

  • 创建脚本文件

本文是将脚本放置与nginx/njs/目录下,文件名为oss-sign.js,你也可以放置到任何你喜欢的地方,只要以下提到的配置目录正确即可。

文件内容详见 代码文件

  • 修改nginx相关配置文件

修改nginx/nginx.conf文件,修改内容如下,非修改内容省略

#--start-- 引入njs模块 
load_module modules/ngx_http_js_module.so;
#--end--

http {
  #--start-- 
  # 以上内容省略,这段代码需放置与include之前, http代码段之中
  # js_include指令后接脚本文件路径
  js_include njs/oss-sign.js;
  # 定义签名字符串和GMT时间字符串
  js_set $ossDate getGMTtime;
  js_set $ossAuth ossSign;
  #--end--

  include /etc/nginx/conf.d/*.conf;
}
  • 虚拟服务主机方式

conf.d/目录下创建oss.conf文件,内容如下

server {
    server_name  oss.xxxxx.com; # oss域名,替换成你自己的域名
    server_name_in_redirect off; # 多域名防干扰,详细说明可自行查阅

    location / {
      # 反向代理oss地址,需替换成你的oss内网或外网地址
      proxy_pass http://xxx.oss-cn-xxx-internal.aliyuncs.com;
      # 设置反向代理时请求header, 也是本方案核心内容
      # $ossDate, $ossAuth 变量名需和nginx.conf文件内变量名一致
      proxy_set_header Date $ossDate;
      proxy_set_header Authorization $ossAuth;
    }

}
  • 其他方式

具体内容视情况而定,但主要是反向代理时添加的header字段,和上面类似

  • 重启nginx

service nginx restart

其他系统可视具体文档

结束

接下来就是见证奇迹的时刻!在浏览器里输入你的域名 + oss资源路径,然后按回车,如果不出意外,图片就能正常显示了。

_

脚本具体代码

oss-sign.js

/* 
  创建待签名字符串 
  此方法为简化版,仅处理不带url参数的oss资源地址,其他情况可结合oss文档 + ali-oss sdk 文件内signUtil模块内的buildCanonicalString方法做修改
*/
function buildCanonicalString (method, resourcePath, date) {
  var signContent = [method.toUpperCase(), '', '', date, resourcePath]
  return signContent.join('\n')
}
/* 计算签名字符串 */
function computeSignature (accessKeySecret, canonicalString) {
  var signature = require('crypto').createHmac('sha1', accessKeySecret)
  return signature.update(canonicalString.toUTF8()).digest('base64')
}
/* 生成完整认证字符串 */
function authorization (accessKeyId, accessKeySecret, canonicalString) {
  return 'OSS ' + accessKeyId + ':' + computeSignature(accessKeySecret, canonicalString)
}
/* oss签名配置数据,换成你自己的PAM账号的AK和bucket */
var ossAccess = {
  accessKeyId: 'XXXXX',
  accessKeySecret: 'XXXX',
  bucket: 'XXX'
}
var GMTdate = ''
/* 返回oss header date字符串 */
function getGMTtime (r) {
  /* 函数运行在http环境,如果有多个server最好加上判断条件来避免不必要的消耗 */
  if (r.headersIn.host !== 'oss.xxxx.com') return ''
  /* nginx 环境下 toUTCString 函数和标准有差异, 此处做转换处理,后续njs版本升级后可能需要修改 */
  var dateWords = new Date().toUTCString().split(' ')
  dateWords[0] += ','
  dateWords[1] = [dateWords[2], dateWords[2] = dateWords[1]][0]
  GMTdate = dateWords.join(' ')
  return GMTdate
}
/* 返回oss header authorization字符串 */
function ossSign (r) {
  if (r.headersIn.host !== 'oss.xxxx.com') return ''
  var method = r.method
  var canonicalString = buildCanonicalString(method, '/' + ossAccess.bucket + r.uri, GMTdate)
  return authorization(ossAccess.accessKeyId, ossAccess.accessKeySecret, canonicalString)
}
3、NGINXNGINX Plus在Azure上的部署与优化
qq_27496129的博客
06-08 515
本文详细介绍了如何在Azure上部署和优化NGINX OSSNGINX Plus,涵盖通过Azure Marketplace、Terraform、PowerShell及手动安装的方法。同时,深入探讨了安全性和高可用性配置,包括网络安全性组(NSG)、负载均衡器、SSL/TLS终止、会话持久性和连接排空等功能的实现。最后,结合Azure托管服务如Front Door和Web应用程序防火墙(WAF),进一步提升应用的安全性和性能。
nginx 代理oss_Aliyun OSS Nginx proxy module(阿里云OSS Nginx 签名代理模块)
weixin_29239279的博客
12-24 737
1、此文章主要介绍内容本文主要介绍如何利用Nginx lua 实现阿里云OSS存储空间做到同本地磁盘一样使用。核心是利用Nginx lua 对OSS请求进行签名并利用内部跳转将所有访问本地Nginx的请求加上OSS 签名转发给OSS实现本地Nginx无缝衔接阿里云OSS,存储空间无限扩展,存储成本无限下降,数据安全%99.99...... 。2、本篇文章使用到的一些工具技术及如何学习和获取1、...
nginx 反向代理oss
moliyiran的专栏
10-15 8862
上面是阿里云的官方文档: 同一个节点的ECS和OSS可以通过内网通信,内网的流量是免费的。 可以通过nginx反向代理的方式,通过内网访问OSS中的内容。 具体的配置如下: upstream ossproxy  {         server oss-cn-beijing-internal.aliyuncs.com; #OSS的内网地址 } serv
Java 对接阿里云 OSS 私有读写(开箱即用)
最新发布
2403_89110232的博客
06-05 1292
阿里云 OSS 是一个海量、安全、低成本、高可靠的云端对象存储服务。支持任意形式的文件上传和下载,广泛用于网站托管、图片资源管理、日志存储、大数据分析等领域。默认情况下,OSS 的 Bucket 权限为私有(Private),即只有授权用户可以访问。本文重点介绍如何在 Java 应用中对接私有 Bucket,实现文件的安全上传与受控访问。ACL(Access Control List)是阿里云 OSS 中用于控制 Bucket 和 Object 访问权限的一种机制。类型描述private
nginx 反向代理 OSS 转发404 (已亲测)
qq_33930506的博客
08-29 899
nginx 转发配置
nginx使用-反向代理
糖果贩子的博客
04-24 3133
反向代理
揭秘Nginx反向代理配置:实现负载均衡与高可用
[揭秘Nginx反向代理配置:实现负载均衡与高可用](https://img-blog.csdnimg.cn/20181114210428528.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3...
如何利用NGINX实现反向代理
![如何利用NGINX实现反向代理?]...NGINX反向代理是一种常见的服务器代理方式,用于接收客户端的请求并将其转发到后端服务器。通过反向代理,可以实现负载均衡、缓存加速等功能。与
反向代理华为云OBS实现自定义域名访问
w候人兮猗
06-12 1807
前言 之前上了一波华为云的车,买了一台小鸡,然后又买了华为云的OBS服务(对象存储),这里主要记录的是如何反向代理配置,对象存储的内容暂不介绍 为什么? 对象存储建立之后是有一个默认的域名的,但是通过默认的域名会产生流量,一般的云服务厂商都会有同地区的内网访问免流的策略,所以这里我们可以在中间搭建一个桥梁,借助我们的ECS间接访问我们的对象存储服务 如何做? 首先,打开华为云对象存储控制...
nginx + zuul + eureka之反向代理 流程
坚持就是胜利的博客
12-24 2490
我们tomcat一般在浏览器访问的地址之前都是 http://localhost:8080 或者 http://127.0.0.1:8080 那么这个localhost是谁给替换的呢,如果我们知道的话是不是可以替换成像www.baidu.com这样的域名呢 那么我们先来了解一下浏览器的本质,原来浏览器当得到一个域名的时候先去本地的C:\Windows\System32\drivers\etc\...
nginx反向代理nginx配置说明
04-26
NULL 博文链接:https://huangyongxing310.iteye.com/blog/2332507
Nginx 代理转发阿里云OSS上传的实现代码
01-10
前言 因为小程序上传需要https,服务器https用的是letsencrypt生成的证书,但是阿里云oss没有做https(懒得上传证书),就想着用Nginx代理转发上传请求。 Nginx配置 # HTTPS server # server { listen 443 ssl; server_name your.domain.name; ... location / { proxy_pass http://127.0.0.1:3000; proxy_set_header Host $Host; proxy_set_header X-Real-I
阿里云OSSNginx反向代理配置
热门推荐
小李专栏
09-11 1万+
阿里云OSS对象存储的Nginx反向代理设置,修改nginx.conf文件 已华北2区域为例,在nginx.conf中添加: ########################## OSS ############################# upstream ossproxy{ server oss-cn-beijing-internal.aliyuncs.com; } s...
三方存储对象nginx代理支持cos和oss
随风往事
10-30 878
1、aws-s3 cos oss 等使用NGINX代理文件。
配置Nginxnginx.conf文件,内网OSS转发到外网,实现外网访问内网的oss资源
qq_39719523的博客
11-12 6047
阿里云OSS对象存储的Nginx反向代理设置,修改nginx.conf文件 本文也是参考文档写的,windows系统下载Nginx,linux安装Nginx,自行百度。 参考文档地址: https://blog.csdn.net/softwave/article/details/82623366 1、在nginx.conf中添加: upstream ossproxy{         se...
简单聊一聊Nginx反向代理和负载均衡
方圆师兄
07-13 374
1、安装nginx nginx官网 2、打开nginx nginx主要的配置都在这个叫做nginx.conf的文件里,接下来打开他 主要两大部分组成:events、http events:主要配置连接数等信息 http:主要配置反向代理负载均衡 假设有多个不同端口的相同服务,外部只需要登录一个ip地址就可以直接访问,现在可以通过以下配置直接通过localhost就可以访问运行的多个服务,权重越高访问频率越高,注意http服务默认端口是80,https默认端口是443 upstream landada
阿里云 | Nginx实现OSS反向代理走内网到本地
刘洋的博客
06-05 2021
apt-get update apt-get upgrade -y # 创建我们需要的目录 mkdir -p /home/luuuxury/Plotting_SSD mkdir -p /home/luuuxury/Farming_SSD # 列出磁盘状态 fdisk -l fdisk -u /dev/vdb p 查看数据盘的分区情况 n 创建一个新分区 p 选择分区类型为主分区 输入分区编号,按回车键, 默认为 1 输入第一个可用的扇区编号,按回车键 默认2048开始 输入最后一个扇区编号,按回车
阿里云OSS私有private生成访问临时访问路径
weixin_44819877的博客
04-02 4848
阿里云OSS私有private生成访问临时访问路径
如何在openEuler 24.09上搭建Nginx,可以使用html5、CSS搭建文件网站UI,javasprint为前后端语言,数据库做账号密码存储和验证,网站实现文件下载与上传服务,并且有资源目录和分类目录和搜索资源功能,并支持https传输,前后端数据加密安全
03-13
<think>嗯,用户想在openEuler 24.09上搭建一个网站,有文件上传下载、用户认证、资源搜索这些功能。前端用HTML5/CSS/JavaScript,后端用Java Spring,数据库存储账号密码,还要支持HTTPS和数据加密。我需要一步步帮他们解决怎么安装配置Nginx和Java Spring,以及数据库的设置。 首先,系统环境方面,用户用的是openEuler 24.09,可能需要先更新系统,安装必要的依赖。比如Java环境,因为后端用Spring,可能需要JDK 17或者更高版本。然后安装Maven或者Gradle来构建项目,还有MySQL或PostgreSQL作为数据库。另外,Nginx作为反向代理和静态资源服务器,需要安装配置。 接下来是安装步骤。先安装Nginx,用dnf安装应该没问题。然后配置Nginx,可能需要设置监听443端口,配置SSL证书,用Let's Encrypt的certbot工具获取证书。同时,配置反向代理到后端的Spring应用,比如转发到8080端口。 然后是Java Spring的安装。需要安装JDK,这里建议用OpenJDK 17,然后安装构建工具。创建Spring Boot项目,整合Spring Security做用户认证,处理密码加密存储,可能用BCrypt。数据库方面,配置数据源,使用JPA或者MyBatis进行数据库操作,比如存储用户信息和文件元数据。 数据库部分,安装MySQL之后,创建数据库和用户表,字段包括用户名、加密后的密码、角色等。可能需要用Flyway或者Liquibase做数据库迁移,确保表结构正确。 HTTPS配置方面,Nginx需要配置SSL证书,设置强密码套件,启用HSTS,可能还要配置HTTP到HTTPS的重定向。后端Spring应用可能需要配置CORS,允许前端域名的请求,同时确保通信通过HTTPS。 文件上传下载功能,后端Spring需要处理Multipart文件上传,存储到指定目录,可能用本地存储或者OSS。数据库里记录文件的元数据,比如文件名、路径、上传者、分类等。下载时通过后端提供接口,或者直接由Nginx处理静态文件。 资源搜索的话,可能需要根据文件名、分类等字段在数据库中进行查询,或者用更复杂的搜索引擎如Elasticsearch,但用户需求可能基础,先用SQL的LIKE语句或者全文检索功能。 前端部分,用HTML/CSS/JS构建界面,可能需要用到Ajax或Fetch API与后端交互。上传文件用FormData,显示分类目录和搜索结果,用动态生成HTML元素的方式。考虑使用Vue.js或React框架,但用户没有提到,可能保持简单。 安全方面,后端用Spring Security处理用户认证,密码加密存储,使用HTTPS加密通信。防止CSRF、XSS攻击,对上传文件做类型和大小限制,避免恶意文件上传。 测试环节,需要确保各功能正常,用户能注册登录,上传下载文件,搜索资源,所有通信都是HTTPS。还要检查性能,是否需要用Redis做缓存,或者优化数据库查询。 可能遇到的问题:Nginx配置错误导致无法访问后端,SSL证书配置不当,Spring Security的权限设置问题,文件存储路径权限不足,数据库连接失败等。需要逐步排查日志,检查配置文件的语法,确保端口开放,服务正常运行。 最后,生成相关问题,可能涉及性能优化、扩展功能、安全加固、部署运维等方面的问题。比如如何优化文件上传性能,如何实现多文件上传,如何备份数据库,如何监控系统资源等。</think>### 分步解决方案 #### 一、系统环境准备 1. 更新系统并安装基础依赖: ```bash sudo dnf update -y sudo dnf install -y git wget curl vim ``` 2. 安装Nginx: ```bash sudo dnf install -y nginx sudo systemctl enable --now nginx ``` 3. 安装Java环境: ```bash sudo dnf install -y java-17-openjdk-devel maven ``` 4. 安装MySQL数据库: ```bash sudo dnf install -y mysql-server sudo systemctl enable --now mysqld ``` #### 二、Nginx配置HTTPS 1. 获取SSL证书(以Let's Encrypt为例): ```bash sudo dnf install -y certbot python3-certbot-nginx sudo certbot --nginx -d your-domain.com ``` 2. 配置Nginx反向代理到Spring应用(示例配置片段): ```nginx server { listen 443 ssl; server_name your-domain.com; ssl_certificate /etc/letsencrypt/live/your-domain.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/your-domain.com/privkey.pem; location / { proxy_pass http://localhost:8080; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; } # 静态文件托管(可选) location /static/ { root /var/www/html; } } ``` #### 三、Spring Boot后端开发 1. 创建Spring Boot项目(整合Spring Security和JPA): ```xml <!-- pom.xml 关键依赖 --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-data-jpa</artifactId> </dependency> <dependency> <groupId>mysql</groupId> <artifactId>mysql-connector-java</artifactId> </dependency> ``` 2. 数据库配置(application.properties): ```properties spring.datasource.url=jdbc:mysql://localhost:3306/file_manager spring.datasource.username=root spring.datasource.password=your_password spring.jpa.hibernate.ddl-auto=update ``` 3. 用户实体与密码加密存储: ```java @Entity public class User { @Id @GeneratedValue(strategy = GenerationType.IDENTITY) private Long id; private String username; private String password; // BCrypt加密存储 // 其他字段... } ``` 4. 文件上传接口实现: ```java @PostMapping("/upload") public String handleUpload(@RequestParam("file") MultipartFile file) { String fileName = file.getOriginalFilename(); Path path = Paths.get("/var/uploads/" + fileName); Files.write(path, file.getBytes()); return "上传成功"; } ``` #### 四、前端开发要点 1. 文件上传表单示例: ```html <form id="uploadForm"> <input type="file" id="fileInput"> <button onclick="uploadFile()">上传</button> </form> <script> function uploadFile() { const formData = new FormData(); formData.append('file', document.getElementById('fileInput').files[0]); fetch('/api/upload', { method: 'POST', body: formData }).then(response => response.json()); } </script> ``` 2. HTTPS通信强制配置(Spring Security): ```java @Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http.requiresChannel() .requestMatchers(r -> r.getHeader("X-Forwarded-Proto") != null) .requiresSecure(); } } ``` #### 五、数据库安全增强 1. 密码加密存储实现: ```java @Bean public PasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(); } ``` 2. SQL注入防护(使用JPA规范): ```java public interface FileRepository extends JpaRepository<File, Long> { @Query("SELECT f FROM File f WHERE f.name LIKE %:keyword%") List<File> searchFiles(@Param("keyword") String keyword); } ``` ###
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值