NGINXのX-Accel-Redirectレスポンスについて、解決方法

NGINX の X-Accel-Redirect 応答
に関して、オンラインでいくつかの記事を読みましたが、それらはすべて、ファイルのダウンロード許可を制御するために使用できると述べています。
原則として、download.php にアクセスするときに権限を確認します。渡された場合は、header("X-Accel-Redirect: target file") が使用されます。

しかし、質問があります。ターゲット ファイルの実際のファイル名とストレージ パスがわかっていて、それに直接アクセスした場合、X-Accel-Redirect はバイパスされませんか?

例:
ターゲット ファイルが実際には http://www.1.com/download/123.xls
に保存されていると仮定します。 Web サイトのページ http://www.1.com/download.php?file=xxxx
にダウンロード リンクがあります。 次に、このリンクを通じて権限制御を行うことができますが、http://www.1.com/download/123.xls を直接入力してアクセスするとどうなるでしょうか。許可制御を回避していませんか?

共有先: もっと見る
-----解決策--------------------------------
Web アプリケーションでは、ダウンロードするファイルがよくあります。これらのファイルが非常にプライベートであり、Web サーバーから直接ダウンロードされる場合、ファイルのダウンロード許可をチェックすることはできません。以前は、このような権限が必要な状況に遭遇した場合、プログラミング言語を使用してファイルを読み取り、権限を決定した後に出力することで権限の問題を解決していました。ただし、ファイルの読み取りにプログラミング言語を使用すると、ファイル サイズが大きい場合や同時ダウンロード数が多い場合、すぐにサーバーが過負荷になってしまいます。

この状況に基づいて、Web サーバー ソフトウェアは、応答ヘッダーを使用してダウンロードを制御する、対応するソリューションを提供します。現在、squid、apache、lighttpd、nginx、およびその他の http サーバーはすべてこのメソッドをサポートしていますが、応答ヘッダー名はすべて異なります:

nginx: X-Accel-Redirect
イカ: X-Accelerator-Vary
apache: X-Sendfile
lighttpd: X-Sendfile/X-LIGHTTPD-send-file

応答ヘッダーを使用してダウンロードを制御する原則も同様です。

クライアントがファイルのダウンロード要求を開始すると、X-Accel-Redirect ヘッダーがないため、Web サーバーはファイルをすぐにクライアントに出力せず、代わりにバックエンド プログラミング言語に要求を渡します。クライアントはファイルをダウンロードできることを確認した後、対応する X-Accel-Redirect ヘッダーを書き込み、X-Accel-Redirect ヘッダーが返されると、Web サーバーの後にフロントエンド Web サーバーを通過します。このヘッダーをチェックすると、ファイル出力がクライアントに送信されます。

では、クライアントが X-Accel-Redirect ヘッダーを偽造して読み取る場合はどうなるでしょうか?もちろん、Web サーバーはバックエンドから送信された X-Accel-Redirect ヘッダーのみを認識し、クライアントから送信されたヘッダーは認識しないため、ダウンロードすることはできません。

それでは、nginx を使用して上記のプロセスを実装しましょう:

1. ディレクトリのアクセス許可を変更します。クライアントがリクエストを開始すると、このディレクトリに対するすべてのリクエストがバックエンド
に渡されます。
場所 /mp3/ {
エイリアス /data/html/mp3/;
内部;
error_page 403 =200 @backend;
}

location @backend {
proxy_pass http://www.sudone.com;
}

このようにして、ユーザーが http://www.sudone.com/mp3/1.mp3 などのアドレスにアクセスすると、ファイルをダウンロードできなくなり、nginx がリクエストをバックエンド サーバーに引き渡します。

2. バックエンドサーバーで rewrite
を構成します
"^/mp3/(.*).mp3$" /read_file.php?id=$1 last;
を書き換えます
この書き換えの目的は、リクエスト http://www.sudone.com/mp3/1.mp3 が PHP プログラミング言語を指すようにし、そのプログラミング言語によって処理されるようにすることです。

3. 権限を決定するための PHP プログラムを作成します

制限時間内（19:00～23:00）にファイルをダウンロードできた場合：
$hour=getdate()[時間];
if ($hour>=19 && $hour {
header("Content-Type: application/octet-stream");
Header("X-Accel-Redirect: /mp3/".$id.".mp3");
}
?>

このアドレスに毎晩19時から23時までアクセスするとX-Accel-Redirectヘッダーが出力され、その内容がファイルアドレスになります。ファイルは、X-Accel-Redirect ヘッダーが出力された後にのみダウンロードできます。それ以外の場合、クライアントは何も取得しません。したがって、ファイルをダウンロードできるのは夕方の19:00から23:00までであり、それ以外の時間帯はダウンロードできません。

以上で設定は完了です。

また、PHP がリクエストを再転送するように設定しようとしましたが、サーバーは最後のステップで常に 404 エラーを報告し、その理由がわかりませんでした。バージョンと関係があるのか​​わかりませんが、インストールしたnginxのバージョン情報が私によって変更されたため、バージョン番号が見つかりません。