网上介绍比较多防盗链配置思路方法是使用reference来识别请求是否来自本站但reference弊端是很容易伪造如迅雷的类工具就使用了伪造reference让防盗链设置无效
这里介绍思路方法是自己定制Apache防盗链模块般防盗链要保护是可供下载大型文件如视频、图片等这些文件以链接形式嵌入在网页里通过点击来获取文件绝对路径如果嵌在网页里文件路径未作任何保护例如某个视频文件路径是:
http://example.com/1234.rm
那么恭喜你不久你就会被迅雷等网站WebSite收录成为他们流量贡献节点了
但如果这个视频文件路径是:
http://example.com/1234.rm?a=33d591d3ba7ae0cedc99a65f723ad0ea
a=后面是md5加密验证串Apache服务器会获取这个验证串并进行校验如果合法则允许下载否则拒绝访问(返回403)这样来别人不知道你验证串加密算法也就不能盗链你资源了
这个串由前台网页产生由后台Apache服务器来进行验证这里假定网页是PHP当然也可以是其他任何动态语言如Perl、Python、 Java等PHP和下载服务器Apache模块共同约定此算法PHP产生个md5加密串后台Apache需要用相同算法产生个md5 串并进行对比校验这个串产生条件通常包括用户IP、目标文件ID、访问时间、双方约定ShareKey等将这些条件联合起来并用md5加密成个串然后将该串作为参数传给下载服务器ApacheApache获取到请求后再对这个串进行校验
如何在Apache端配置这个防盗链模块呢？这里我使用modperlmodperl是个非常强大开发工具它可以访问Apache内部所有 API可以在Apache响应处理各个阶段定制自己处理器mod_rewrite想必很多人都知道它强大其实mod_rewrite功能用modperl也可以轻松编写出来
Apache处理个请求分成很多个阶段这里我们只要在Access这个阶段做些处理就够了也就是说在Apache里加载个处理器在文件被访问前由该处理器对验证串进行校验校验通过才允许访问
在使用modperl的前首先需要装好它Apache有1.3版本和2.x版本同样modperl也有1.0版本和2.0版本1.0版本已停止开发了处于维护阶段出于更好性能考虑我们使用httpd 2.0和modperl 2.0版本
modperl需要结合Apache进行安装并且需要安装libapreq2安装过程请见另篇文档:http://www.key0.cn/post/216.html
装好modperl后修改httpd.conf配置文件增加如下配置:
1. PerlPostConfigRequire /opt/httpd2/run/startup.pl
2.
3. <Location /protect>
4. SetHandler modperl
5. PerlAccessHandler DLAuth2
6.
7. PerlSetVar ShareKey TestKey
8. PerlAddVar PassAuthIPs 192.168.0.1-192.168.0.254
9. </Location>
第1行startup.pl是配置文件这个文件主要有2个作用:加载处理器运行目录和预加载些类库
第3行表示/protect这个web目录下文件都受防盗链保护
第4行表示设置处理器类型为modperl
第5行是关键这里加载了我们Access验证模块模块名是DLAuth2
第7行是加密验证串shareKey这个Key也需要告诉前台网页开发人员
第8行是防盗链白名单IP若没有则注释掉该行即可
接着在Apache根目录(这里假定是/opt/httpd2)下面创建个run子目录将防盗链模块DLAuth2.pm和startup.pl 都放在该目录下另外创建/protect这个web根目录(例如/opt/httpd2/htdocs/protect)将需要防盗链保护文件(如视频或图片)放在这个目录下也可以将其他文件目录link或mount到该目录下
startup.pl内容类似如下:
use strict;
use lib qw(/opt/httpd2/run); # 加载处理器运行目录
#use Apache2::RequestIO ; # 预加载类库
use Apache2::RequestRec ;
use Apache2::Connection ;
use Apache2::RequestUtil ;
use Apache2::ServerUtil ;
use Apache2::Log ;
use Apache2::Request ;
1; # 不要丢了这个1表示返回真给者
DLAuth2.pm内容类似如下:
package DLAuth2;
use strict;
use warnings;
use Socket qw(inet_aton);
use POSIX qw(strftime);
use Digest::MD5 qw(md5_hex);
#use Apache2::RequestIO ;
use Apache2::RequestRec ;
use Apache2::Connection ;
use Apache2::RequestUtil ;
use Apache2::ServerUtil ;
use Apache2::Log ;
use Apache2::Request ;
use Apache2::Const -compile => qw(OK FORBIDDEN);
sub handler { # 处理器钩子名不能改
my $r = sht; # 请求目标
my $q = Apache2::Request->($r);
my $s = Apache2::ServerUtil->server;
my $ip = $r->connection->remote_ip; # 获取访问者IP
my $fid = $q->param('fid') || get_fileid; # 获取目标文件ID
my $ip_ = ip2($ip); # 将IP转换成大整数
my $shareKey = $r->dir_config('ShareKey') || ''; # 从配置文件获取shareKey
my @passip = $r->dir_config->get('PassAuthIPs'); # 从配置文件获取白名单IP
my @passip_; # 白名单IP
for (@passip) { # 将白名单IP转换成整数
(/-/) {
my ($start,$end) = split/-/;
my $start_ = ip2($start);
my $end_ = ip2($end);
for (my $i=$start_;$i<=$end_;$i) {
push @passip_,$i;
}
} {
push @passip_, ip2($_);
}
}
for (@passip_) { # 如果请求IP位于白名单里则允许访问
Apache2::Const::OK $ip_ $_;
}
# 日期这里取是当前天为防止时间不致在我产品里时间设置比较宽松当前天前后2天都是可以
my $date = strftime("%Y%m%d",localtime);
# 基于相关条件产生验证串
my $auth_ = generate_auth_($ip