Rails + Devise как запретить доступ к файлам в директории public неавторизованным пользователям?

Question

[Руслан Галиев]

Здравствуйте
Подскажите как можно ограничить доступ к файлам в директории public не авторизованным пользователям:

http://server.com/uploads/product_photo/02d13ce6-ff11-4194-ba86-b1ab38d90ed7.jpg

такого рода запросы не проходят авторизацию. Если единственный вариант перенести фотографии в другую директорию, то в какую tmp ?

Answer 1

[Ivan Kryak]

1. nginx'ом закрываете папку /uploads/product_photo
2. Добавляете в приложении контроллер/метод, который будет получать имя файла, проверять файл на наличие, проверять авторизацию пользователя
3. Если всё ок, отдаёте файл при помощи send_file

Comments

[Руслан Галиев]

Получается за отдачу файла уже будут отвечать рельсы. Что я думаю замедлит скорость работы приложения, т.к. файлов в директории порядка 50 тысяч. А на странице они получаются пачками по 100 штук. Есть ли какой то другой вариант ? Для загрузки файлов используется carrierwave.

[Ivan Kryak]

Если использовать директиву x-accel-redirect, то нагрузка не особо большая будет, только на проверку авторизации, от которой не избавиться в любом случае.
thedataasylum.com/articles/how-rails-nginx-x-accel...

[Руслан Галиев]

А есть аналог такой директивы для apache?

[Ivan Kryak]

X-Sendfile

[Ivan Kryak]

api.rubyonrails.org/classes/ActionController/DataS...

[Руслан Галиев]

А поясни пожалуйста, процесс будет проходит следующим образом. Пользователь пытается получить доступ к файлу в директории public , например server.com/uploads/product_photo/02d13ce6-ff11-419... . Рельсы проверяют его авторизации deivse'ом и если он авторизован то отдают файл? Если да , то зачем мне команда send_file, которая отправляет файл. Или ты мне хочешь предложить настроить route на файлы в public, который будет запускать действие контроллера на проверку авторизации и дальше отправку файла?

[Ivan Kryak]

https://gist.github.com/sck-v/80ae86f3d82bc0a2c61e

[Ivan Kryak]

И в nginx'e/apach'e нужно соответственно по пути '/uploads/....' направлять запрос к рельсам, если хотите, чтобы это всё прозрачно работало

[Руслан Галиев]

Ага теперь понял. Только момент каким образом я вызовы с определенной директории смогу настроить на запрос к рельсам. У меня настроен следующий виртуальный хост apache2:

<VirtualHost *:80>
     ServerName server.com
     DocumentRoot /var/www/server/current/public
     RailsEnv production
     PassengerLogLevel 2
     <Directory /somewhere/public>
        AllowOverride all
        Options -MultiViews
        Order allow,deny
        Allow from all
     </Directory>
</VirtualHost>

[Руслан Галиев]

@sck_v Подскажи плиз как в виртуальном хосте Apache адресовать запрос к рельсам?

[Руслан Галиев]

@sck_v А как при этом просто отображать изображения из папки /uploads/product_photo например тем же image_tag ?

[Ivan Kryak]

А у вас же есть route к контроллеру:
```
get '/uploads/:file', to: 'private_assets#show', as: :image
```
image_tag(image_path(filename))

[Руслан Галиев]

@sck_v Спасибо я уже сделал

Answer 2

[Дмитрий Снегирев]

насколько я понимаю в рельсах ты не сможешь ограничить доступ к файлам в папке /public, по хорошему они отдаются через nginx напрямую.
Папку можно использовать /private/uploads например. Логичное противопоставление папке public.

Comments

[Руслан Галиев]

А как сделать отдачу этих файлов? С помощью действия контроллера не вариант, думаю будут тормоза

[Дмитрий Снегирев]

А как же еще ты проверишь права? Только с помощью контроллера.