Как запретить скачивание файл по прямой ссылке?

Question

[tajfun_rt]

Как сделать так, чтобы файлы которые хранится в определенной папке могли скачать только три авторизированных модератора? Назовем их user1, user2 и user3. В папке хранятся текстовые файлы (.txt) и пополняется другими пользователями новыми файлами. С помощью данного когда я вывожу в виде таблице все файлы и эту таблицу видят только эти три модератора.

$url = '/upload';
    $dir = $_SERVER['DOCUMENT_ROOT'] . '/upload/'; 
    $moder=$_SESSION['login'];
    if ( $moder =='user1'|| $moder =='user2'|| $moder =='user3') { 
        echo "<table class='table table-hover'><thead>";
        echo "<tr><th scope='col'>№</th>
              <th scope='col'>Имя файла</th>
              <th scope='col'>Скачать</th>
              <th scope='col'>Примечание</th>
              </thead></tr>";
        foreach (glob($dir . '/*.txt') as $fileName) {
            $fileinfo = basename($fileName);
            $name_file= pathinfo($fileinfo, PATHINFO_FILENAME);
            echo "<tbody><tr>";
            echo '<td>'.$name_file.'</td>';
            echo '<td><a href="'. $url . '/'. basename($fileName) .'" download="'.$fileinfo.'">'.$name_file.'</a></td>';
            echo "<td>0</td>";
            echo "</tr></tbody>";
        }
        echo "</table>";  
    }

Это работает и файл скачивается, но зная ссылку можно скачать файл и без авторизации.
Я в папке с файлами создал файл .htaccess и в нем прописал Deny from all. Это конечно закрыло папку от скачивания не только для авторизированных , а вообще для всех.
Как сделать, чтобы эти три модератора смогли скачать?

Answer 1

[Михаил]

Надо файлы хранить в папке недоступной из веб.
При этом для какого то контроллера создать экшен, по отдачи этих файлов, где можно установить проверки, по правам.
И ссылки на картинки уже на этот экшен формировать

Answer 2

[ThunderCat]

Папка выше документ рута + readfile() + 2 заголовка. Ну и банальная проверка на роль.

Comments

[tajfun_rt]

Я пробовал по примеру с readfile() не получается. Вот по этому примеру

[ThunderCat]

tajfun_rt,

не получается.

Что значит не получается? Оно или работает, или выдает ошибку.

[tajfun_rt]

Я сделал следующее , заменил строчку с ссылкой на вот это.

echo '<td><a href="download.php?d='. basename($fileName) .'">'.$name_file.'</a></td>';

создал файл download.php, в нем прописал следующее:

<?php
$file = $_GET['d'];
header("Expires: 0");
header("Last-Modified: " . gmdate("D, d M Y H:i:s") . " GMT");
header("Cache-Control: no-store, no-cache, must-revalidate");
header("Cache-Control: post-check=0, pre-check=0", false);
header("Pragma: no-cache");
$ext = pathinfo($file, PATHINFO_EXTENSION);
$basename = pathinfo($file, PATHINFO_BASENAME);
header("Content-type: application/".$ext);
header('Content-length: '.filesize($file));
header("Content-Disposition: attachment; filename=\"$basename\"");
ob_clean(); 
flush();
readfile($file);
exit;
?>

Результат скачивается не файл file1.txt а какой-то download.php , открыв его там ошибки

<br />
<b>Warning</b>:  filesize(): stat failed for file1.txt in 
<br />
<b>Warning</b>:  Cannot modify header information - headers already sent by (output started at 
<br />
<b>Warning</b>:  Cannot modify header information - headers already sent by (output started at 
<b>Notice</b>:  ob_clean(): Failed to delete buffer. No buffer to delete in 
<br />
<b>Warning</b>:  readfile(file1.txt): Failed to open stream: No such file or directory in

[ThunderCat]

tajfun_rt, то есть ошибки не читаем, реальный путь до файла указать не догадались, но не получилось...

[tajfun_rt]

ThunderCat, точно, все спасибо заработало)))

Добавил в файл download.php строчки с указанием каталога, теперь работает

<?php
$filename = $_GET['d'];
$dir = $_SERVER['DOCUMENT_ROOT'] . '/upload/'; 
$file = $dir.$filename;
header("Expires: 0");
header("Last-Modified: " . gmdate("D, d M Y H:i:s") . " GMT");
header("Cache-Control: no-store, no-cache, must-revalidate");
header("Cache-Control: post-check=0, pre-check=0", false);
header("Pragma: no-cache");
$ext = pathinfo($file, PATHINFO_EXTENSION);
$basename = pathinfo($file, PATHINFO_BASENAME);
header("Content-type: application/".$ext);
header('Content-length: '.filesize($file));
header("Content-Disposition: attachment; filename=".basename($file));
if (ob_get_contents()) ob_end_clean();
flush();
readfile($file);
exit;
?>

[ThunderCat]

tajfun_rt, да, осталось вывести папку выше документ рута, иначе весь смысл доступа к ней через скрипт теряется.

[Дмитрий]

ThunderCat, так у него хитачисом закрыто же

[tajfun_rt]

Дмитрий, да закрыто

Answer 3

[Roman]

1) Установите и активируйте плагин, который позволит вам управлять доступом к файлам. Например, "Members" или "User Role Editor".
2) Настройте прав доступа: Создайте пользовательскую роль, например, "модератор" и далее для доступа к этому файлу проверяйте есть ли роль "модератор у этого пользователя"

Comments

[tajfun_rt]

Сайт чистый php

Answer 4

[rPman]

Я помню реализовывал очень простой механизм разграничения доступа к статическим файлам без привязки к особенностям веб серверов (там есть плагины на авторизацию) и при этом чтобы файлы для веб сервера оставались статикой.

Файлы размещаются в каталоге, недоступном веб серверу а в конфиге веб сервера включается поддержка симлинков (например apache - Options FollowSymLinks). Затем, модуль авторизации создает на каталог с файлами, к которым нужен доступ для пользователя символическую ссылку в публично доступном каталоге, с именем, равным идентификатору сессии пользователя session_id() а по завершению сеанса, симлинк удаляется (если сеанс должен завершаться автоматически, придется использовать какой то работающий демон или периодический по крону для проверки всех сессий на завершение). Таким образом ссылка на скачивание будет формироваться из сессии пользователя и будет оставаться статичной (т.е. веб сервер будет отдавать этот файл сам, максимально эффективно), но доступ к ней будет только у авторизованного.

Код для этого дела - несколько строчек.

Недостаток - кеширование файла на уровне веб браузера не будет полноценно работать (только в пределах сессии), но это в любом случае так будет для любой разумной реализации, и формально, если файл должен быть доступен только для авторизованного пользователя, кеширование его вообще лучше отключать.

Comments

[ThunderCat]

чет какой-то странный способ наплодить миллиард симлинков... Банальный readfile() гораздо проще и безопаснее.

[rPman]

ThunderCat, симлинки соответствуют активным сессиям, никто в здравом уме не делает их вечными.
а вот городить свой способ правильной отдачи файла с докачкой я бы не советовал, любая реализация на php будет грузить сервер на порядок выше нативного веб сервера.

upd. точно помню можно для mod_rewrite написать правило, которое либо из кук либо из переменной окружения будет вытаскивать идентификатор сессии и подставлять его в ссылку автоматически, тогда для пользователя ссылка будет выглядеть без идентификатора

даже не представляю, проще и красивее решения.

[ThunderCat]

rPman,

а по завершению сеанса, симлинк удаляется (если сеанс должен завершаться автоматически, придется использовать какой то работающий демон или периодический по крону для проверки всех сессий на завершение)... никто в здравом уме не делает их вечными.

Конечно, конечно, конечно )...

[ThunderCat]

rPman, Проще и красивее? Ща со стула упаду ))
Давай по порядку:
1) Так нельзя дать доступ до конкретного файла, только до папки целиком. Что как бы не айс.
2) Нормальная практика на серверах когда папка сессионных файлов содержит кучу "мертвяков", не убитых системой по множеству причин, чаще всего зависящих от настроек, которые не везде можно подкрутить. Тут как раз и "совместимость со всеми серверами" и "2 строчки кода" требующие дополнительных кронов и демонов в одном флаконе. Молчу про сервера под IIS.
3) Не все сервера позволяют "симлинкать" что угодно куда угодно, часто простенькие шареды тупо закрывают эту возможность.
4) По сути, не смотря на то что папка имеет "хитрое" имя и "теоретически" не доступна для других пользователей, это не доступ по правам, а security through obscurity, то есть папка физически доступна всем, кто знает. Например, Василий делится ссылкой на файл с Петей, и теперь Петя имеет доступ не только к файлам из папки Васи, но и видит его сессион кей. Найс.

любая реализация на php будет грузить сервер на порядок выше нативного веб сервера.

Вам в любом случае надо получить права доступа до файла для текущего пользователя, который (внезапно!) может быть сменен вот прям перед моментом обращения. Так что нужен код который это проверит. Еще один readfile() к этому коду нифига особо не добавит по нагрузке, так как тупо проксирует чтение.

[rPman]

Так нельзя дать доступ до конкретного файла, только до папки целиком

никто не мешает создавать симлинк на файл, правда когда именно это делать вопрос, например ссылка на скачивание это модуль проверки наличия этого симлинка и создания его по необходимости.

Формально симлинк в файловой системе тут выступает базой данных для выдачи прав, достаточно эффективный (все современные ос имеют логарифмическую трудоемкость по поиску файлов в каталоге, возможны проблемы с миллионом файлов при обслуживании типа резервная копия, но и тут решений тьма, от использования адекватных систем резервного копирования типа zfs/btrfs snapshot send до использования подкаталогов для хранения симлинков)

Остальные коментарии - смешно.

Про security through obscurity - нет, идентификатор сессии выступает токеном авторизации, любой другой способ авторизации так или иначе будет содержать токены, которые будут храниться в сессии браузера пользователя.

При использовании modrewrite ссылка никак не будет содержать этот идентификатор..

Смена прав доступа - это удаление симлинка. Еще раз, ты все то же самое будешь делать в любой другой базе данных, то что реляционные все уже умеют тригеры и позволяют это все красиво описать - всего лишь синтаксический сахар.

[ThunderCat]

rPman,

никто не мешает создавать симлинк на файл, правда когда именно это делать вопрос, например ссылка на скачивание это модуль проверки наличия этого симлинка и создания его по необходимости.

то есть от "самого простого решения в 2 строчки" мы приходим к куче работы и настройки независящего от кода окружения. Ок, допустим.

Про security through obscurity - нет, идентификатор сессии выступает токеном авторизации, любой другой способ авторизации так или иначе будет содержать токены, которые будут храниться в сессии браузера пользователя.

Во первых - я уже показал как легко и непринужденно эти данные утекают. Значит это дыра. То что вы этого не понимаете говорит больше о неопытности, чем о злом умысле, но проблемы это не решает. Вы теряете контроль за доступом к файлу по 1 клику. И более того - ко всей папке.
Во вторых

При использовании modrewrite ссылка никак не будет содержать этот идентификатор..

тоже как-то выходит за рамки 2 строчек кода и самого простого решения, мы опять должны решать что-то с окружением и писать свои костылики уже в хтаксесах. Плюс - возвращаемся к тому что папка выступающая как симлинк вся становится доступной и (тадаааа!) один файл мы снова не можем зашарить.

Смена прав доступа - это удаление симлинка.

То есть там где была только проверка, мы добавляем манипуляции с ФС, которые как бы не требуются при других подходах... Мы все еще говорим о самом простом решении в 2 строчки? И тут же улетело в трубу прямое обращение к файлу на время сессии, так как этот доступ должен быть по программной проверке и мы снова возвращаемся к работе через скрипт. Ну или если предположить что симлинк должен быть уничтожен во время смены доступа, то как блэт? Мы должны прочесать все симлинки, просмотреть в какой папке имеется нужный файл, выписать все ключи сессии в массив, а затем как-то вычислить какому пользователю принадлежит сессия с указанным ключом (допустим мы пишем этот ключ в бд, тогда танец с бубном становится на одно па короче...). Иии... оказывается что симлинк содержит еще 10 файлов в этой папке, к которым у пользователя есть доступ, и симлинк удалять нельзя (или можно?)...

Еще раз, ты все то же самое будешь делать в любой другой базе данных, то что реляционные все уже умеют тригеры и позволяют это все красиво описать - всего лишь синтаксический сахар.

Ну да, именно благодаря синтаксическому сахару мы уже не пишем интерфейсы на асме, если что. И нет, я не буду делать то же самое, как минимум не понадобится работа с ФС по удалению симлинка, что добавляет еще 1 уровень контроля за состоянием, и в итоге мы имеем лапшу кода по поддержке весьма странной фичи...

[rPman]

Пожалуйста не путаете людей, про security, плашка куратора придает вашим словам вес.

[ProjectSoft]

rPman, просто человеку нужно подумать... Ни кто не обязан знать всё, что качается его профессии, но ... желательно. Мы все люди и имеем право ошибаться и быть не правовыми в каком-то вопросе.
Даже здесь

Плюс - возвращаемся к тому что папка выступающая как симлинк вся становится доступной и (тадаааа!) один файл мы снова не можем зашарить.

Где-то да, а подумав и нет...
Может быть и я сейчас дам не правильный ответ, но всё же я его реализовывал и это работало.
Как пример, кстати из старых закладок и слава Богу ещё работают.

Можно, но для такого расклада нужно учесть несколько моментов:
- этот htaccess будет постоянно перезаписываться скриптом (когда выделется ссылка - внести директиву, когда время жизни ссылки вышло - убить директиву)
- учесть инструмент фиксирования времени жизни ссылки + по крону собственно говоря проверять раз в 3-5-10 минут (зависит от критичности возможности ссылки жить чуть дольше положенного)
Как вариант, могу предложить такой механизм:
- пользователь выбрал там что-то, чтобы получить временную ссылку
- скрипт читает файл htaccess (просто в переменную)
- генерирует случайную строку (можно и просто и банально через md5(time()) и проверяет, чтобы для такой строки не было уже записи в файле, если есть, можно просто еще раз к строке md5 применить и снова проверить и так пока не получится уникальная строка, снять текущее время time(), добавить к нему время существования ссылки - получим время до которого ссылка живет
- добавить в htaccess строчку вида RewriteRule ^tmplinks/временная-уникальная-строка/?$ реальный-явный-путь-к-файлу [L] #время-до-которого-ссылка-работает
- выдать юзеру адрес ссылки вида: http://www.domain.ru/tmplinks/временная-уникальная...
Далее, создать скриптик, который по крону будет запускаться с нужной частотой и просто проверять, есть ли в htaccess директивы перенаправления, которые как бы должны "умереть"? перезаписывать htaccess без этой строки (это время после # в строках директив перенаправления).
Лучше блок директив временных ссылок вообще выделить сверху и снизу "псевдотегами", чтобы этот блок можно было вставить туда, где нужно в файле, и потом не мучиться разбиранием и выделением нужных частей

Подробнее .htaccess И временные ссылки
Как это совместить с зарегистрированными пользователями? Вот тут уже встаёт конкретный вопрос, но решаемый... если чуть-чуть подумать... и почитать на эту тему. Специально не даю ответов. Чем меньше знают, тем дольше спят...)))
Это я про лень.

PS
tajfun_rt

С помощью данного когда я вывожу в виде таблице все файлы и эту таблицу видят только эти три модератора.

Это совершенно не значит, что у вас ссылки временные и до них можно достучаться. Лучше всего, как я и говорил, ссылки делать временными. Но это уже относится ко второй части вашего бедующего вопроса. Он будет. Потом.... И это уже из второй части моего ответа.
Просто так никто делиться не будет. Здесь уже форсируют личные знания каждого, а это время, если время - затраты, ну дальше вы сообразите...