当前位置：首页 > news >正文

使用 NGINX 的 `ngx_http_secure_link_module` 模块保护资源链接

news 来源：原创 2025/5/20 6:49:21

一、模块简介

版本：自 NGINX 0.7.18 起引入
功能：
1. 签名校验：对请求 URI 中的签名进行校验，保证链接未经篡改。
2. 时效控制：根据请求中携带的过期时间，判断链接是否仍在有效期。
启用方式：编译 NGINX 时加入 --with-http_secure_link_module 参数。

二、两种工作模式

1. 简单的“秘密词”模式

指令：secure_link_secret word;
原理：在 URL 中以 /前缀/<md5_hex>/<真实路径> 形式传递签名，NGINX 对比签名是否匹配。
优点：配置简单，无需传递过期参数；
缺点：无法控制时效，仅做防篡改。

配置示例

server {listen 80;server_name example.com;# 开启“秘密词”模式，secret 为约定好的密钥location /p/ {secure_link_secret secret;# 签名校验失败返回 403if ($secure_link = "") {return 403;}# 内部重写到受保护的真实路径rewrite ^ /secure/$secure_link break;}# 真实资源目录，仅允许内部访问location /secure/ {internal;root /data/protected;}
}

签名生成（Linux 下）：

# 真实资源为 /p/link，secret 为 secret
echo -n 'linksecret' | openssl md5 -hex 
# 输出：5e814704a28d9bc1914ff19fa0c4a00a
# 最终访问：
#   http://example.com/p/5e814704a28d9bc1914ff19fa0c4a00a/link

2. 带过期时间的“MD5+Expires”模式

指令：
- secure_link $arg_md5,$arg_expires;
- secure_link_md5 "<expr> secret";
原理：
1. 从请求参数（如 ?md5=...&expires=...）中提取签名和过期时间；
2. 使用指定表达式（通常包含 $secure_link_expires, $uri 和密钥）计算 MD5，并与请求中的签名比对；
3. 如果签名匹配且当前时间 ≤ 过期时间，则 $secure_link=1，否则为 0 或空串；
优点：既能防篡改，又可设置时效；
缺点：需要在 URL 中额外传递 expires 参数，URL 更长一些。

配置示例

server {listen 80;server_name example.com;location /s/ {# 提取 md5 签名 和 expires 时间secure_link   $arg_md5,$arg_expires;# 用 expires + URI + 客户端 IP + secret 组合生成 md5secure_link_md5 "$secure_link_expires$uri$remote_addr secret";# 签名不匹配（变量为空）拒绝访问if ($secure_link = "") {return 403;}# 已过期（变量为“0”）返回 410 Goneif ($secure_link = "0") {return 410;}# 校验通过，正常转发或返回静态资源root /data/protected;}
}

签名生成（Linux 下）：

# 假设当前时间戳为 2147483647，资源 URI 为 /s/link，客户端 IP 为 127.0.0.1，secret 为 secret
data="2147483647/s/link127.0.0.1 secret"
# 计算二进制 MD5 并做 base64url 编码：
openssl md5 -binary <<<"$data" \| openssl base64 \| tr '+/' '-_' | tr -d '='
# 例如得到 _e4Nc3iduzkWRm01TBBNYw
# 最终访问链接：
#   http://example.com/s/link?md5=_e4Nc3iduzkWRm01TBBNYw&expires=2147483647