Как ограничить загрузку файла по прямой ссылке?

Question

[Alex Lapikov]

Здравствуйте, сервер nginx, система wordpress.
Необходимо реализовать запрет на загрузку файла по прямой ссылке из каталога uploads, но выдавать его из админ панели.

Я знаю, что nginx может делать на директорию deny all по адресу папки на подобии htaccess в apache, но тогда файлы будут в принципе недоступны..
Вопрос в том, как это проверять и предоставлять доступ к директории из админ панели?

Comments

[no_one_safe]

Ну так давайте ссылку на файл не прямую, а через прокси скрипт. А в этом скрипте проверяйте права и либо отдавайте файл либо 404.

[Alex Lapikov]

no_one_safe, так файл по умолчанию можно выгрузить из папки Uploads. Если я его nginx конфигом закрою, как мне проверять?

[no_one_safe]

Alex Lapikov, ну чтобы его выгрузить из uploads, нужно ведь знать путь? Так? Я не очень умею в WP, но что то подсказывает мне, что узнать путь в uploads не так просто. Или нет?

[no_one_safe]

Alex Lapikov, приведите пример пути файла, для которого нужно проверять доступ.

[Alex Lapikov]

no_one_safe, mysite.com/wp-content/uploads/myfile.pdf

Сейчас подумал, что если действительно давать файлам рандомные, сложные названия. Просмотреть дерево папок никак нельзя каким нибудь анализатором?

[no_one_safe]

Alex Lapikov, Ну можно конечно написать парсер который будет обходить все возможные урл.. но эффективность его будет низкая.

Answer 1

[ky0]

Это работа приложения, а не веб-сервера.

Comments

[Alex Lapikov]

Можно немного поподробнее? Есть мысли о том, как можно реализовать такую проверку?
Я ни разу с такой задачей не сталкивался и гугл толку особо не дал.
Только понял, что можно сделать в конфиге либо редирект, либо запретить доступ. А как сделать условие? Давать доступ определённым образом.

[yarovikov]

Alex Lapikov, спросить у гугла, например, вот так file download with temporary link using php

[roswell]

yarovikov, мысль отличная. Только what can once be seen, can't be unseen (вон web.archive.org со мной согласен), а на каждый чих грузить php и процессор -- ну, такое... Alex Lapikov, если у вас там настолько эксклюзивный контент, ну вкрячьте посередине изображения смачный водяной знак, что ли. Или вообще не выкладывайте в сеть, выдерните все кабели и спокойно ложитесь спать, и людям голову не морочьте.

Answer 2

[Дмитрий]

Плагины по скрытию ссылок не подойдут?

Easy Affiliate Links
Pretty Links
WP Cloaker
WP to Affiliate
WooCommerce Cloak

Comments

[Alex Lapikov]

Дело в том, что толку ноль от сокрытия ссылки, путем подбора или анализа директории файл все равно можно выловить.

[Дмитрий]

Alex Lapikov, Как путем подбора вычислят? Назовите файл file67D3-^YnQ и никто не вычислит.

Если что-то ценное, то все равно один купит и выложит на инфослив какой-нибудь.

[Дмитрий]

Или реализуйте выдачу ссылок из админ панели если есть определенные права у пользователя.

[Alex Lapikov]

Дмитрий, а это хорошая идея, на входе файл переименовывать сложным именем. Никаких анализаторов нет, что бы вычислять содержимое папок на хостинге?

[Дмитрий]

Alex Lapikov,

Никаких анализаторов нет, что бы вычислять содержимое папок на хостинге?

На основании чего они могут вычислить? Мне сложно представить, что это будут за анализаторы.

[Alex Lapikov]

Дмитрий, понял, спасибо за ответ, завтра обдумаю этот вариант

Answer 3

[Сергей Томулевич]

https://nginx.org/ru/docs/http/ngx_http_secure_lin...

Дешево и сердито.
Останется только в админ панели генерить ссылки с ключами.