Как запретить доступ к папке через url?

Question

[Никита Стечкин]

Мне нужно запретить доступ к папке public через url, как это сделать?

Comments

[Сергей delphinpro]

напишите нормально, что вам нужно.

[Никита Стечкин]

Сергей delphinpro, я и так нормально написал, мне нужно, чтобы пользователь не мог через url(название сайта/storage/название файла) просматривать фотографии, которые лежат в папке storage. Я пробовал НЕ создавать link через php artisan storage:link от папки storage к папке public,но когда я получал путь к файлу через:

Storage::disk('temp')->url(название)

а потом передавал во view в тег img, то в атрибуте src была корректная ссылка(название сайта/storage/название файла), но фотография все равно не отображалась.Еще я пробовал использовать

Storage::disk('temp')->get(название)

но это возвращало набор символов. Поэтому я решил все таки сделать симлинк от storage к public, но папку public сделать не доступной через url, как это можно организовать?

[Алексей Уколов]

Никак. Вы либо показываете файл, либо не показываете. Файла Шрёдингера не бывает.

[Никита Стечкин]

Алексей Уколов,а как тогда делают так, чтобы пользователь не мог получить фотографии другого пользователя из его диалогов, если фотографии общедоступны?

Answer 1

[Сергей delphinpro]

Другое дело.
Чтобы файлы не были доступны по ссылке, не нужно их размещать в публичной директории.
Я делал так:

Регистрируем маршрут

Route::get('p/attach/{id}', [AttachmentController::class, 'show'])
  ->name('attachment.show')
  ->middleware(['auth']);

Маршрут закрыт аутентификацией, только зарегистрированные пользователи могут получить доступ. Но вы можете любые другие условия организовать.

Регистрируем приватный диск

// config/filesystem.php
    'private' => [
      'driver'     => 'local',
      'root'       => storage_path('app/private'),
      'visibility' => 'public',
    ],

Можно просто в уже имеющийся локальный скидывать (local, не public), но я предпочитаю порядок.

Далее все загружаемые картинки сохраняем на этот диск.

В моем случае картинки являются аттачами и ссылки на них хранятся в базе.

Пишем метод для отображения пикчи:

// AttachmentController.php
  public function show($id, Request $request, Response $response)
  {
    // Здесь любая логика проверки прав на просмотр файла.
    // ...
    /** @var Attachment $attach */
    $attach = Attachment::findOrFail($id);
    $path = Storage::disk('private')->path($attach->path.$attach->name.'.'.$attach->extension);

    return response()->file($path);
  }

Здесь мы получаем из роута идентификатор вложения читаем его и отдаем в ответ.

Для формирования ссылки сделал хелпер

privateUrl(Attachment $attachment)
  {
    return route('attachment.show', [
      'id'   => $attachment->id,
    ]);
  }

@foreach($files as $attachment)
  <a class="text-underline"
      target="_blank"
      href="{{ privateUrl($attachment) }}"
  >{{ $attachment->original_name }}</a>
@endforeach

PS.
Класс Attachment не является частью фреймворка. Это модель для управления загружаемыми файлами.
Но в целом, я думаю, вам понятен принцип.

Comments

[Никита Стечкин]

Спасибо за ваш ответ, но можно сделать так, чтобы взять путь файла, который хранится на приватное диске в storage, потом сохранить этот путь в переменную $path, передать её в view, в уже в view сделать так:

<img scr={{$path}} alt""/>

[jazzus]

Для 1000 файлов в этом цикле будет 1000 запросов в бд. Можно передавать $file->user_id как параметр в урл, по нему уже проверять доступ == $user->id и формировать путь. И зачем юзать хелпер над хелпером route тоже вопрос. Почему тогда нет хелпера над этим хелпером и над ним еще одного хелпера)

[Сергей delphinpro]

jazzus,
1. Аттачи из базы тянутся одним запросом. почему 1000 то?
2. Зачем юзер ид в урле? Я его и так знаю. И что мешает его подменить в урле? Или я нифига не понял о чем вы.
3. Очевидно, для сокращения кода. Это часто используемый роут, мне проще и быстрее вызвать свой хелпер и пару раз подтвердить автокомплит, чем каждый раз прописывать ларкин хелпер и прописывать ему массив параметров.

[Сергей delphinpro]

Никита Стечкин, вы можете как угодно сообщать имя запрашиваемого файла.
Главное, чтобы
1. Его не было в публичном каталоге
2. Ларавел понимал, что это запрос файла и вызывал необходимый контроллер
3. Контроллер проверял права доступа, читал файл и возвращал его в ответе

[Никита Стечкин]

Сергей delphinpro, так когда я получаю путь к файлу через Storage::url(название)
и передаю во view в img, то в src лежит корректный путь к файлу, но он все равно не отображается

[jazzus]

Сергей delphinpro,
1) Я не обратил внимание на тег а. Обычно урл картинки юзают в теге img. И автор для тега img спрашивает, который в твоем варианте будет делать ненужный findOrFail на каждую итерацию цикла.
Зачем юзер ид в урле?
Чтобы не лезть в бд и проверить авторизацию. И для идентификатора в path.
И что мешает его подменить в урле?
403/404 ошибка после проверки прав. В твоем варианте доступ к файлам друг друга имеют все юзеры. Автор хочет сделать их приватными для юзера.

3) Это не сокращение кода, а масло маслянное. У тебя не нужно передавать никакие массивы. Сокращение уже сделано
route('files.show', $file)
и это читаемый код в отличие от непонятного privateUrl в который надо лезть, чтобы смотреть что это. Ларавел - это фреймворк, все уже сократили.

[jazzus]

Никита Стечкин, https://laravel.com/docs/8.x/responses#file-responses

[Никита Стечкин]

jazzus, как вывести её в теги img, а не на весь экран?

[jazzus]

Никита Стечкин, как в этом ответе. Сделать роут и вернуть file response.

[Никита Стечкин]

jazzus, так file response выводит фотографию на всю страницу, я не могу передать его во view и вывести в теге img

[Сергей delphinpro]

Никита Стечкин, точно так же

<img src="{{ privateUrl($attachment) }}">

[Сергей delphinpro]

jazzus,
1) да, я просто выдрал кусок кода. Ничто не мешает засунуть вызов в src тега img.
Да, в базу надо лезть, чтобы достать вложение. А как иначе?
Про юзер ид я так и не понял.
Текущего я и так узнаю из сессии. Юзера, которому принадлежит вложение, я в любом случае должен чекнуть в базе, не могу же я доверять параметру в урле?
В моем варианте права доступа чекаются в контроллере, там где в примере я поставил многоточие.

3)
Опять же, у меня полностью выглядит так

Route::get('p/attach/{id}/{name}', [AttachmentController::class, 'show'])->name('attachment.show');

function private_url(Attachment $attachment)
{
  return route('attachment.show', [
    'id'   => $attachment->id,
    'name' => $attachment->original_name,
  ]);
}

Два параметра (второй не нужен для функционирования, просто требование показывать имя файла)
Я пробовал запись route('attachment.show', $attachment), но оно не работает так. Поэтому хелпер над хелпером.

[Никита Стечкин]

Сергей delphinpro, так privateUrl($att) возвращает id, не могу ли я сделать что-то вроде

$photo = Storage::disk('private')->path('название');
  $file = response()->file($photo)
  return view('название', compact('file'))

А потом во view:
<img src="{{$file }}" alt="photo">

[Сергей delphinpro]

Никита Стечкин, еще раз.

у вас будет защищенный маршрут. Этот маршрут будет отдавать изображение (проверив права доступа). всё!
Именно этот маршрут должен возвращать response()->file().
Также этот маршрут должен содержать информацию о том, где этот файл лежит в приватном диске.
В моем случае это идентификатор вложения.
Но это лишь частный случай.
Вы можете, например, передавать имя файла в гет-параметре и считывать его

<img src="your-site.ru/private-route/?file=2021/02/12/ksdjkfjlaksjf2sd1.jpg">

Этот роут дергает контроллер, контроллер проверяет права, читает из гет-параметра имя файла, считывает файл и отдает его клиенту.

Во вьюху вам НЕ НУЖНО САМ ФАЙЛ передавать!!! Там нужен только URL для получения файла.
Соответственно вы пишете что-то вроде

$fileUrl = "your-site.ru/private-route/?file=2021/02/12/ksdjkfjlaksjf2sd1.jpg";
return view('название', compact('fileUrl'))

Как еще разжевать, я не знаю. =))

[jazzus]

Сергей delphinpro,

Ничто не мешает засунуть вызов в src тега img

Мешает 1000 запросов в бд на каждую 1000 тегов img))

А как иначе?

Не делать запросов в бд.

не могу же я доверять параметру в урле?

А зачем ему доверять? Его нужно проверять, а не доверять ему. Для этого есть правила авторизации. И можно не использовать мидлварю auth.

Я пробовал запись route('attachment.show', $attachment), но оно не работает так

Тогда это повод разобраться почему не работает (например задать вопрос на тостере), а не писать свою альтернативу существующего функционала. Никакие id и name передавать не нужно. Нужно использовать route model binding как я написал. Только сразу уточню)) не для тега img и не для этого вопроса, а в других ситуациях где нужно получать ресурс. Т.к. здесь тоже будет запрос в бд, который для тега img делать нельзя.

Поэтому хелпер над хелпером.

Плохая идея.

[jazzus]

Никита Стечкин, http responses работают с http запросами. Соответственно нужно сделать запрос картинки и получить картинку в ответ.

[Никита Стечкин]

Сергей delphinpro, я же в самом начале объяснил, что я уже получал путь к файлу используя
Storage::disk(название)->path(название)

Затем этот путь передавал в view и уже в view в теге img в атрибут src передавал этот путь, но не смотря на то, что путь был корректный фотография все равно не выводилась

[jazzus]

Никита Стечкин, ну так не будет выводиться ни через storage url ни через path т.к. диск приватный. Иначе любой сможет получить доступ к картинке. Нужно сделать как в ответе через file response только без бд запросов и хелперов над хелперами и все будет хорошо.

[Никита Стечкин]

jazzus, так мне response file возвращает фотографию на всю страницу, в мне нужно передать ее во view и уже там в теге img вывести

[Сергей delphinpro]

Никита Стечкин, Не нужно вам это. Как вы понять не можете? В теге img вам НЕ ФАЙЛ нужен! Там нужна ССЫЛКА НА ФАЙЛ. По этой ссылке как раз и должна открываться картинка "на весь экран", как вы изволили выразиться.

[Сергей delphinpro]

jazzus, вы заставляете меня усомнится в моем решении =))
Но я в упор не вижу возможности избавиться от запроса для проверки.

Пусть для примера выводится пять картинок.
Для формирования ссылок я дергаю коллекцию аттачей одним запросом. Тут вроде норм.

Потом браузере делает пять http запросов за изображениями и естественно в каждом их них будет запрос к таблице вложений, чтобы понять какому юзеру оно принадлежит. И как я от этого избавлюсь?

[jazzus]

Сергей delphinpro, авторизовать доступ к урл. Т.е. добавить в урл user_id и на бэке проверять через Gate что user_id == auth user id. Так не будет запроса в бд и юзер сможет видеть только свои ссылки.

[Никита Стечкин]

Сергей delphinpro,так я уже писал, что выводил там ссылку через Storage url и Storage path, но это не работало

[Сергей delphinpro]

jazzus, спасибо. теперь ясно.

[Сергей delphinpro]

Никита Стечкин, я не знаю, сколько еще раз повторить, что ссылка должна быть не из сторейдж. попробуйте перечитать все ответы, пока не поймете.

[Никита Стечкин]

Сергей delphinpro, так вы мне писали, что нужна ссылка на файл,как я писал в начале, эту ссылку на файл я передавал и используя Storage и просто строкой, как было в вашем примере:

$fileUrl = "your-site.ru/private-route/storage/ksdjkfjlaksjf2sd1.jpg";
return view('название', compact('fileUrl'))

А потом во view:
<img src={{$fileUrl}} alt=""/>
Но это все равно не выводило фотографию

[Сергей delphinpro]

Никита Стечкин, ок. давайте еще раз.
по порядку.

Создаем приватный диск, как в ответе.

Загружаем туда файл. Пусть будет так:

storage
  app
    private
      my-file.jpg

Создаем роут (покажу на анонимке, без контроллера)

Route::get('/p/{filename}', function($filename){
  $path = Storage::disk('private')->path($filename);
  return response()->file($path);
})->name('private_images')->middleware('auth');

Передаем во вьюху путь к картинке

$fileUrl = route('private_images', ['filename' => 'my-file.jpg']);
return view('название', ['fileUrl' => $fileUrl]);

Во вьюхе показываем картинку

<img src="{{ $fileUrl }}" alt="">

В этом примере нет проверки доступа. Я просто показываю, как отобразить файл не по прямой ссылке, а через защищенный роут.

[Никита Стечкин]

Сергей delphinpro, большое спасибо за помощь, мне бы с самого начала хватило просто путя до файла, т.е название_сайта/private-images/название_файла

Answer 2

[Sanes]

Приватные файлы должны лежать в Storage и отдаваться скриптом.
https://laravel.com/docs/8.x/filesystem#downloadin...

return Storage::download('file.jpg');

return Storage::download('file.jpg', $name, $headers);

Comments

[Никита Стечкин]

А если я не хочу, чтобы они скачивались у пользователя?

[Sanes]

Никита Стечкин, почитайте документацию. Методов масса. Основной смысл в том, чтобы не не хранить файлы в /public

[Никита Стечкин]

Sanes, методов масса,однако, вы написали один и неправильный

[Sanes]

Никита Стечкин, вопрос свой перечитайте.

[Никита Стечкин]

Sanes, перечитал, вопрос был в том, как скрыть папку, вы ответили, где должны хранится файлы