使用Nginx对静态资源鉴权

已于 2022-07-15 15:27:15 修改
阅读量6.8k 收藏 17
点赞数 5
分类专栏: spring 文章标签: nginx 服务器 java
于 2022-07-15 11:58:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/dip12315/article/details/125801133
版权

需求问题

公司渗透测试扫描发现了一个未授权访问文件的问题,即外网可以通过文件地址直接访问文件服务器中文件,无需任何认证,造成公司敏感数据泄露。

问题分析

当前获取文件的流程如下

我们的文件地址形如:http://x.x.x.x:5001/filefolder/folder1/folder2/aaa.doc(x.x.x.x是应用服务器IP)
1)请求地址到应用服务器。
2)应用服务器再通过nginx转发到文件服务器(y.y.y.y),获取到对应文件。
3)获取到文件后直接返回,如果是返回前端,即可做图片预览,文件下载,视频播放等功能。此外中台应用功能,如发送邮件时,也是直接调用的文件地址获取附件。
该地址是在应用服务器通过nginx直接转发到文件服务器的,没有经过应用系统鉴权,好处就是获取文件无需暂用应用服务器带宽,速度较快。但也产生了未授权访问的问题。
在这里插入图片描述

解决方案

方案1

应用服务器增加接口,所有文件都从该接口转发到文件服务器获取,并以文件流的方式返回。该方式需占用大量带宽,且前后台所有请求文件服务器的代码都需调整,后考虑使用方案二。

方案2

方案2是基于该篇文章(https://www.cnblogs.com/JQ04/p/15905762.html)调整的。
1)请求的文件地址保持不变,先跳转至应用服务器的nginx
2)转换请求路径。因为后续要请求后端进行鉴权,而http://x.x.x.x:5001/filefolder/folder1/folder2/aaa.doc的请求方式不满足后端接口形式,因此跳转前将该请求转换成了get请求入参的方式:http://x.x.x.x:5001/filefolder?addr=/folder1/folder2/aaa.doc。
3)应用服务器nginx再路由至应用做鉴权,鉴权通过后重定向会nginx服务器配置的静态资源路径。
4)再由应用服务器跳转至文件服务器获取文件。
流程如下:
在这里插入图片描述

具体实现

应用服务器nginx配置
server{
	listen 5001;
	# 文件路径前缀
	location /filefolder{
	    # 此步骤是经文件路径转换成get请求带入参的格式。
		proxy_pass http:x.x.x.x:5001/ftpFile?addr=;
	}
	# 鉴权前缀
	location /ftpFile{
		 proxy_redirect off;            
		 proxy_set_header Host  $host;            
		 proxy_set_header X-Real-IP $remote_addr;            
		 proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;            
		 # 指定提供文件鉴权服务的地址
		 proxy_pass http://x.x.x.x:5002/servername/ftpFile; 
	}
	# 静态资源前缀
	location /filefolder_static/{
		internal;
		proxy_pass http://y.y.y.y:5123/filefolder/;  #代理的静态文件目录
	}
}
中台鉴权

中台鉴权代码参考文章:https://www.cnblogs.com/JQ04/p/15905762.html
与该文章不同点:
1)前端请求文件地址时,带有cookie,通过cookie进行鉴权
2)中台请求文件地址时,无cookie,因此在鉴权接口上增加了authkey字段,要求中台传文件地址时制定传一个key。中台请求格式如下:

    http://x.x.x.x:5001/filefolder/folder1/folder2/aaa.doc&authKey=xxxxxxxx

该路径经过nginx转换参数变为

    http://x.x.x.x:5001/filefolder?addr=folder1/folder2/aaa.doc&authKey=xxxxxxxx

在鉴权接口中判断authKey正确后,即为鉴权通过。

大模型——Trae IDE 指南:轻松配置自定义 AI 规则 (Trae Rules)
05-09 270
Trae Rules 是一项强大的功能,它允许开发团队或个人开发者自定义并强制 AI 在代码生成、解释或修改时遵循特定的代码风格和最佳实践。设想一个常见情景:开发者在使用 AI 进行编程辅助时,可能需要反复向 AI强调相同的指令,例如代码的语言风格、项目必须遵循的框架约束、注释的详细程度与格式,或是需要遵守的安全合规条例等。Trae Rules 功能通过为 AI 预先设定这些行为规范,使得 AI 在每次响应时都能自动“读取”并遵循这些预设规则。
大模型——Trae实战创建一个MCP Server
05-07 612
从个人体验下来的感觉,对比 Deepseek v3 和 r1 的模型,Builder with MCP这里的执行,选择 Doubao-1.5-pro 效果更好,豆包对关联的 MCP Server 和对应的 Tools 的理解和使用更准确,而 Deepseek 有编码偏向性而忽略去使用可用的 MCP Server。,且 Agent with MCP 的设计,可以同时创建多个场景下的 Agent,并关联不同 MCP Server,免去了其他 MCP Client 需要根据任务不时的去增删服务的繁琐操作。
Trae 实操指南: 2小时开发一个py脚本管理工具
Record Little
03-26 1136
python环境和Trae 已经装好虽然是python小白 ,但是了解h5和java 基本的软件开发流程。目的:AI创建一个工具需求: 构建需求思路AI过程1、 需求描述,生成初版功能2、测试功能,定位错误,反馈错误3、修复代码,重新测试4、调整功能,循环以上步骤期望: 功能开发完成,打包,验证是否符合期望。
Trae AI IDE 远程开发:一键在服务器上开发部署网站指南!
热门推荐
一键难忘的博客
03-18 4万+
Trae AI 是一款免费且智能的 AI 原生集成开发环境(IDE),专注于提升开发者的编程效率和体验。它支持智能代码生成与优化,开发者可以通过自然语言描述需求,AI 自动生成代码或提供优化建议。此外,Trae AI 提供 Builder 和 Chat 模式,帮助从零构建项目或在对话中获取代码建议,同时具备原生中文支持,适用于中文开发者。其多种语言支持、可定制化架构及丰富的插件扩展,使其成为高效、智能的编程工具。
AI 原生 IDE Trae 深度体验:SSHremote 功能如何重新定义远程开发与云原生部署
QQ_778132974的博客
03-19 1158
SSHremote允许开发者通过 SSH 协议直接连接远程服务器(如 Linux 生产环境),在本地 Trae 界面中无缝操作远程文件,并享受完整的 AI 辅助功能(代码补全、调试、AI 问答等)。服务端自动部署:连接时自动在远程主机安装轻量级 Trae 服务端,无需手动配置开发环境。全功能一致性:本地与远程开发体验完全一致,避免“环境差异”导致的运行问题。资源高效利用:低配本地设备可通过 SSH 连接高性能服务器,直接处理计算密集型任务。
Trae AI 能力:开启跨系统开发新时代,让远程协作与定制化开发触手可及
全沾软贱开发攻城狮
03-18 2万+
在数字化浪潮席卷全球的今天,开发者作为技术创新的核心驱动力,却常常深陷于效率与需求的矛盾之中。资源紧缺的团队需要以有限的人力应对复杂的开发需求;跨平台、多系统的开发环境让代码调试与部署成为耗时耗力的战场;而企业内网访问的严苛限制,更让远程协作与敏捷开发举步维艰。这些痛点不仅拖慢创新速度,更在无形中消耗着技术团队的创造力与热情。正是在这样的背景下,Trae 国内版应运而生。
字节跳动Trae国内版上线!AI IDE神器,免费体验Builder模式+Chat模式,开发效率提升300%!
niaonao
03-15 1757
从0到1玩转Trae:手把手教你用AI IDE开发贪吃蛇游戏,小白也能轻松上手!
【初识Trae】字节跳动推出的下一代AI原生IDE重新定义智能编程
fengye002fly的博客
04-25 1881
Trae是由字节跳动推出的国内首款AI原生集成开发环境(IDE),旨在通过深度集成人工智能技术,彻底改变传统编程模式。它不仅是一个代码编辑器,更是一个将AI能力融入开发全流程的协作平台。Trae通过自然语言交互、智能代码生成与优化、上下文感知等核心技术,帮助开发者实现从“想法到代码”的高效转化,尤其针对中文开发场景进行了深度优化。Trae代表了AI与开发工具融合的新方向,其核心价值在于人机协同——开发者保留决策权,AI承担重复性工作。
Trae智能协作AI编程工具IDE:如何在MacBook Pro下载、安装和配置使用Trae
猫头虎技术团队:授渔优于赠鱼,兴趣引领智慧,探索之乐尤显珍贵。商务合作+:Libin9iOak ,万粉变现+:优快云WF,猫头虎承诺每年免费为100名C站创作者做账号流量诊断服务!全网搜:猫头虎技术团队,点击文章底部名片或直接私信我一切皆可谈,快找虎哥!
03-02 1万+
Trae不是要取代开发者,而是通过AI增强每个普通人的技术表达能力。Trae智能协作AI编程工具IDE:如何在MacBook Pro下载、安装和配置使用Trae?(本文所有代码示例均在Trae 1.0.8版本测试通过,2025年3月更新)侧边栏Chat:在编辑器侧边栏开启聊天,快捷键【Cmd+U】内联聊天:在编辑器内开启聊天,快捷键【Cmd+I】获取最新提示词模板和最佳实践案例!首次启动时点击图标,自动"打开"(通过⌘+U 唤出AI调试面板)界面布局和VScode类似。使用的人数较多,正在排队中。
中国首款AI原生IDE:字节跳动Trae国内版深度解析与实践指南
qq_64296768的博客
03-04 1588
标志着国产AI编程工具进入新纪元。该工具以动态智能协作为核心,搭载Doubao-1.5-pro和"满血版"DeepSeek R1/V3双模型引擎,支持自然语言生成完整项目框架,实现端到端开发闭环。技术层面突破传统IDE限制,通过全栈上下文理解与Builder模式,将复杂需求转化为可执行代码,实测效率较传统工具提升30%以上。针对本土开发者深度优化中文语义理解,支持私有模型接入与跨平台协作,已覆盖Windows/Mac系统并开放Linux预约
AI工具 Trae 创建java项目和配置运行环境完整示例
bsklhao的博客
04-29 1288
Trae 通过自然语言交互和 AI 驱动,显著简化了 Java 项目的创建与配置流程。其 Builder 模式适合快速生成基础框架,而 Chat 模式和 MCP 扩展则能应对复杂需求(如日志、性能优化)。开发者可专注于业务逻辑,减少样板代码编写时间。如需进一步实践,可参考 Trae 官网教程或社区案例(如。
字节跳动AI编程工具Trae深度研究报告:创新功能、应用场景与发展趋势
daqsdfas的博客
03-25 160
Trae 是字节跳动面向专业开发者推出的一款 AI 集成开发环境(IDE),它将 AI 技术与编程流程深度融合,旨在通过智能协作和先进的人工智能技术提升开发效率。Trae 尤其针对中文开发者的使用习惯和需求进行了深度优化,致力于解决中文开发者在使用国际主流编程工具时面临的语言和功能适配问题,为中文开发者提供了一个高效、智能的编程环境。Trae 作为一款具有创新性的 AI 原生集成开发环境工具,为开发者带来了诸多便利和优势。其原生中文支持极大地降低了中文开发者的使用门槛,使编程过程更加流畅和高效。
AI 编程助手大比拼:Cursor、Windsurf、VS Code Copilot 和 Trae,谁才是你的神队友?
Chad的博客
05-12 733
Cursor:一款把 AI 编程助手深度嵌入 VS Code 的独立编辑器,号称“为 AI 编程而生的 IDE”。Windsurf:最近很火的 AI 助手,走轻量路线,主打 VS Code 扩展,交互体验简单直接。:GitHub 和 OpenAI 联手打造,最早一批 AI 编程助手,几乎人尽皆知。Trae:专门做代码对话式 AI 的新兴工具,支持 VS Code 扩展,也可以独立用,主打对话感、上下文连续。如果你希望在 AI 助手里实现“写代码、改代码、查文档、写说明、出测试”一条龙,Cursor。
咖啡叶子病害检测数据集VOC+YOLO格式1468张4类别均为单叶子
FL1623863129的博客
05-17 592
标注类别名称(注意yolo格式类别顺序不和这个对应,而以labels文件夹classes.txt为准):["Cercospora","Miner","Phoma","Rust"]数据集格式:Pascal VOC格式+YOLO格式(不包含分割路径的txt文件,仅仅包含jpg图片以及对应的VOC格式xml文件和yolo格式txt文件)特别声明:本数据集不对训练的模型或者权重文件精度作任何保证,数据集只提供准确且合理标注。标注数量(xml文件个数):1468。标注数量(txt文件个数):1468。
垂直智能体:企业AI落地的正确打开方式
最新发布
chainso23的博客
05-18 749
在一次重大投资决策中,这个智能体通过详细的财务模型和风险分析,帮助企业识别了原计划中被忽视的潜在风险,优化了投资策略,最终实现了比预期高的投资回报。上述企业管理与运营领域的成功案例清晰地表明,真正有价值的智能体不是简单地调用模型或拼凑功能,而是通过深度融合领域知识、专业流程和企业特定数据,形成清晰的内部逻辑,最终成为企业决策和运营的可靠助手。高效的垂直智能体需要具备强大的任务记忆能力,能够在多轮交互中保持上下文理解,记住用户的需求和偏好,避免重复询问或提供不一致的回答。
Baklib赋能企业知识资产AI化升级
weixin_51374429的博客
05-18 1009
Baklib作为AI驱动的一站式知识中台,深度融合大数据与智能技术,助力企业实现知识资产数字化升级。通过构建安全可控的多语言知识库体系,帮助百度、京东等500强企业激活沉睡数据,提升60%AI数据准备效率,实现内容智能管理、多场景输出及业务创新,打造可视化AI Ready知识引擎,加速数字化转型进程。
ApiHug 咋变成国外AI工具了呢?
程序员超级伴侣-ApiHug
05-16 1130
摘要:ApiHug是一个专注于API设计和开发的平台,提供高度描述性、模块化和可视化的体验。它集成了API资产的分发、监控和管理功能,支持全语言在IDEA中的智能自动补全、linting和语法高亮等。ApiHug通过标准化的API设计元语言,旨在提高API开发效率和团队协作。其主要功能包括API设计、代码生成、模块共享、版本控制和统一IDE支持。目标受众为API开发者和团队,使用场景涵盖API设计、性能监控和智能提示。用户可通过官网注册、安装插件并开始使用ApiHug的各类功能。
联想推出擎天AI适配中心,智能体部署开启“交钥匙”新模式
weixin_43735236的博客
05-16 535
根据中研普华产业研究院的《2025-2030年中国AI大模型行业竞争格局分析与未来趋势预测报告》分析,2025年中国AI大模型市场规模预计将突破495亿元,大模型技术正在全行业快速演进,其中智能体成为企业AI落地的重要形式,特别是在政务、金融、医疗等对数据可控性要求极高的行业,本地化部署几乎已成共识。面对快速演进的市场环境,ISV常常陷入部署难、适配难、交付慢等难题——擎天AI适配中心的推出,正是为了解决这些关键痛点,帮助开发者在智能体的部署过程中,跳过复杂的搭建过程,专注于业务模型开发与客户交付。
[模型部署] 1. 模型导出
ayiya_Oese的博客
05-16 1244
本文详细介绍了如何将深度学习模型导出为不同部署格式,包括ONNX、TorchScript等,并对比了各种格式的优缺点及适用场景。
trae安卓开发
04-03
### Trae 在安卓开发中的应用 Trae 是一款由字节跳动推出的人工智能驱动集成开发环境 (IDE),它通过智能代码补全、多模态交互以及对整个代码库的上下文分析等功能,显著提升了开发者的工作效率[^2]。对于安卓开发而言,Trae 可以帮助开发者快速生成高质量的 Java 和 Kotlin 代码片段,并提供实时错误检测和优化建议。 以下是关于如何在安卓开发中使用 Trae 的一些具体方法: #### 功能概述 1. **智能代码补全** Trae 能够基于当前项目结构和已有的代码逻辑,预测并自动生成可能的下一行代码或函数实现。这种功能特别适用于复杂的安卓框架操作,比如设置 RecyclerView Adapter 或处理 Activity 生命周期事件。 2. **多模态交互支持** 用户可以通过自然语言描述需求,例如 “创建一个带有两个按钮的布局”,Trae 将解析该请求并生成相应的 XML 文件或者对应的编程接口调用。 3. **精准修改建议** 当遇到性能瓶颈或其他技术难题时,Trae 不仅能指出潜在问题所在位置,还能给出具体的解决方案甚至直接完成修复工作。 #### 示例代码展示 假设我们需要构建一个简单的 Android 应用程序界面,其中包含一个 TextView 显示欢迎消息以及一个 Button 来触发某些动作,则可以借助 Trae 自动生成如下部分核心组件定义: ```xml <!-- res/layout/activity_main.xml --> <LinearLayout xmlns:android="http://schemas.android.com/apk/res/android" android:orientation="vertical" android:layout_width="match_parent" android:layout_height="match_parent"> <TextView android:id="@+id/welcomeText" android:text="Welcome to My App!" android:gravity="center_horizontal" android:paddingTop="20dp" android:layout_width="wrap_content" android:layout_height="wrap_content"/> <Button android:id="@+id/actionButton" android:text="Click Me" android:onClick="performAction" android:layout_gravity="center_horizontal" android:layout_marginTop="50dp" android:layout_width="wrap_content" android:layout_height="wrap_content"/> </LinearLayout> ``` 与此同时,在 MainActivity.kt 中关联上述 UI 控件及其行为也可以利用 Trae 提供的功能轻松达成目标: ```kotlin // src/MainActivity.kt package com.example.myapp import androidx.appcompat.app.AppCompatActivity import android.os.Bundle import android.widget.Button import android.widget.TextView import android.widget.Toast class MainActivity : AppCompatActivity() { override fun onCreate(savedInstanceState: Bundle?) { super.onCreate(savedInstanceState) setContentView(R.layout.activity_main) val welcomeMessage = findViewById<TextView>(R.id.welcomeText) val actionBtn = findViewById<Button>(R.id.actionButton) actionBtn.setOnClickListener { _ -> Toast.makeText(this@MainActivity, "You clicked the button!", Toast.LENGTH_SHORT).show() welcomeMessage.text = getString(R.string.new_message_text) // Assuming string resource exists. } } } ``` 以上两段代码分别展示了如何运用 Trae 创建基础视图层次结构与绑定基本控件点击监听器的过程。 #### 注意事项 尽管 Trae 非常强大,但在实际编码过程中仍需注意以下几点: - 确保输入给 AI 的指令清晰明了; - 对于特定领域知识密集型任务(如复杂算法设计),应适当补充背景资料以便获得更加精确的结果; - 始终审查最终产出物的质量,因为任何自动化工具都无法完全替代人类专家的经验判断力。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值