2008年7月20日星期日
2008年1月8日星期二
定制Apache的防盗链模块
定制Apache的防盗链模块
Author: Jeff Pang pangj@earthlink.net
Date: 2008-1-8
网上介绍比较多的防盗链配置方法是使用reference来识别请求是否来自本站。但reference的弊端是很容易伪造,如迅雷之类的工具就使用了伪造的reference,让防盗链设置无效。
这里介绍的方法是自己定制Apache的防盗链模块。一般防盗链要保护的是可供下载的大型文件,如视频、图片等。这些文件以链接形式嵌入在网页里,通过点击来获取文件的绝对路径。如果嵌在网页里的文件路径未作任何保护,例如某个视频文件路径是:
http://example.com/1234.rm
那么恭喜你,不久你就会被迅雷等网站收录,成为他们的流量贡献节点了。
但如果这个视频文件的路径是:
http://example.com/1234.rm?a=33d591d3ba7ae0cedc99a65f723ad0ea
a=后面是md5加密的验证串,Apache服务器会获取这个验证串并进行校验,如果合法,则允许下载,否则拒绝访问(返回403)。这样一来,别人不知道你的验证串加密算法,也就不能盗链你的资源了。
这个串由前台网页程序产生,由后台的Apache服务器来进行验证。这里假定网页程序是PHP,当然也可以是其他任何动态语言如Perl、Python、 Java等。PHP和下载服务器的Apache模块共同约定此算法,因为PHP产生一个md5加密串,后台的Apache需要用相同算法产生一个md5 串,并进行对比校验。这个串的产生条件,通常包括用户IP、目标文件ID、访问时间、双方约定的ShareKey等。将这些条件联合起来,并用md5加密 成一个串,然后将该串作为参数传给下载服务器的Apache。Apache获取到请求后,再对这个串进行校验。
如何在Apache端配置这个防盗链模块呢?这里我使用modperl。modperl是个非常强大的开发工具,它可以访问Apache内部的所有 API,可以在Apache响应处理的各个阶段定制自己的处理器。mod_rewrite想必很多人都知道它的强大,其实mod_rewrite的功能, 用modperl也可以轻松的编写出来。
Apache处理一个请求分成很多个阶段,这里我们只要在Access这个阶段做一些处理就够了。也就是说,在Apache里加载一个处理器,在文件被访问前,由该处理器对验证串进行校验,校验通过才允许访问。
在使用modperl之前,首先需要装好它。Apache有1.3版本和2.x版本,同样modperl也有1.0版本和2.0版本。1.0版本已停止开发了,处于维护阶段。出于更好的性能考虑,我们使用httpd 2.0和modperl 2.0版本。
modperl需要结合Apache进行安装,并且需要安装libapreq2。安装过程请见我的另一篇文档:http://pyh7.spaces.live.com/blog/cns!47D8D44208AC51E5!128.entry
装好modperl后,修改httpd.conf配置文件,增加如下配置:
1. PerlPostConfigRequire /opt/httpd2/run/startup.pl
2.
3. <Location /protect>
4. SetHandler modperl
5. PerlAccessHandler DLAuth2
6.
7. PerlSetVar ShareKey TestKey
8. PerlAddVar PassAuthIPs 192.168.0.1-192.168.0.254
9. </Location>
第1行的startup.pl是初始配置文件,这个文件主要有2个作用:加载处理器的运行目录,和预加载一些类库。
第3行表示/protect这个web目录下的文件,都受防盗链保护。
第4行表示设置处理器类型为modperl。
第5行是关键,这里加载了我们的Access验证模块,模块名是DLAuth2。
第7行是加密验证串的shareKey,这个Key也需要告诉前台的网页开发人员。
第8行是防盗链白名单IP,若没有,则注释掉该行即可。
接着,在Apache的根目录(这里假定是/opt/httpd2)下面创建一个run子目录,将防盗链模块DLAuth2.pm和startup.pl 都放在该目录下。另外,创建/protect这个web根目录(例如/opt/httpd2/htdocs/protect),将需要防盗链保护的文件 (如视频或图片)放在这个目录下,也可以将其他文件目录link或mount到该目录下。
startup.pl的内容类似如下:
use strict;
use lib qw(/opt/httpd2/run); # 加载处理器的运行目录
#use Apache2::RequestIO (); # 预加载的类库
use Apache2::RequestRec ();
use Apache2::Connection ();
use Apache2::RequestUtil ();
use Apache2::ServerUtil ();
use Apache2::Log ();
use Apache2::Request ();
1; # 不要丢了这个1,表示返回真给调用者
DLAuth2.pm内容类似如下:
package DLAuth2;
use strict;
use warnings;
use Socket qw(inet_aton);
use POSIX qw(strftime);
use Digest::MD5 qw(md5_hex);
#use Apache2::RequestIO ();
use Apache2::RequestRec ();
use Apache2::Connection ();
use Apache2::RequestUtil ();
use Apache2::ServerUtil ();
use Apache2::Log ();
use Apache2::Request ();
use Apache2::Const -compile => qw(OK FORBIDDEN);
sub handler { # 处理器的钩子函数,函数名不能改
my $r = shift; # 请求目标
my $q = Apache2::Request->new($r);
my $s = Apache2::ServerUtil->server;
my $ip = $r->connection->remote_ip; # 获取访问者IP
my $fid = $q->param('fid') || get_fileid(); # 获取目标文件ID
my $ip_int = ip2int($ip); # 将IP转换成大整数
my $shareKey = $r->dir_config('ShareKey') || ''; # 从配置文件获取shareKey
my @passip = $r->dir_config->get('PassAuthIPs'); # 从配置文件获取白名单IP
my @passip_int; # 白名单IP数组
for (@passip) { # 将白名单IP转换成整数数组
if (/-/) {
my ($start,$end) = split/-/;
my $start_int = ip2int($start);
my $end_int = ip2int($end);
for (my $i=$start_int;$i<=$end_int;$i++) {
push @passip_int,$i;
}
} else {
push @passip_int, ip2int($_);
}
}
for (@passip_int) { # 如果请求IP位于白名单里,则允许访问
return Apache2::Const::OK if $ip_int == $_;
}
# 日期这里取的是当前天,为防止时间不一致,在我的产品程序里,时间设置比较宽松,当前天的前后2天都是可以的。
my $date = strftime("%Y%m%d",localtime);
# 基于相关条件产生验证串。
my $auth_string = generate_auth_string($ip_int, $fid, $date, $shareKey);
# 获取请求URL的验证串,该串由前台PHP程序产生
my $str = $q->param('a') || '';
if ($str eq $auth_string) {
return Apache2::Const::OK; # 如果2串一致,则允许访问
} else {
$s->log_error("[$ip FORBIDDEN] Auth failed"); # 否则拒绝并记录log
return Apache2::Const::FORBIDDEN;
}
return Apache2::Const::OK; # 默认策略是允许访问
}
sub ip2int { # 将IP转换成大整数的函数
my $ip = shift;
my $nl = inet_aton($ip);
die "wrong ip $!" unless defined $nl;
return unpack('N',$nl);
}
sub generate_auth_string { # 产生验证串的函数,返回一个md5加密串
... # 你自己的代码用来产生验证串,此处算法必须和前台PHP的算法一致
}
sub get_fileid { # 获取目标文件ID的函数,简单的做法是文件名就包含ID
… # 你自己的代码用来获取目标文件ID
}
1;
配好上述后,stop再start Apache,一个强大的防盗链系统就产生了。
补充一下,上述对Apache的访问控制设置,只用到了modperl的一个很浅的功能。如果你想改造或定制Apache,实际上modperl可以做任何你想要的。如下是一些参考文档:
modperl官方文档:http://perl.apache.org/docs/index.html
modperl编程指南(本人翻译):http://home.arcor.de/jeffpang/mod_perl/
2007年11月12日星期一
php实现-xml+xsl=html
三个文件,执行一下echo.php,ok,
xml被按照xsl的格式显示
//主文件:echo.php
//------------------------------------------------------
<?php
/**
* @name echo.php
* @date Fri Sep 21 00:43:33 CST 2007
* @copyright 马永占(MyZ)
* @author 马永占(MyZ)
* @link http://blog.csdn.net/mayongzhan/
* @email mailmyz@gmail.com
*/
header("Content-Type: text/html; charset=UTF-8");
$xml = new DOMDocument();
$xml->Load("data.xml");
$xsl = new DOMDocument();
$xsl->Load("style.xsl");
$xslproc = new XSLTProcessor();
$xslproc->importStylesheet($xsl);
echo $xslproc->transformToXML($xml);
?>
//Xml文件:data.xml
//---------------------------------------------------------
<?xml version="1.0" encoding="UTF-8"?>
<works>
<work name="架构" />
<work name="管理" />
<work name="业务" />
</works>
//xsl文件:style.xsl
//-----------------------------------------------------------
<?xml version="1.0" encoding="UTF-8"?>
<xsl:stylesheet xmlns:xsl="http://www.w3.org/1999/XSL/Transform"
version="1.0">
<xsl:output method="html" />
<xsl:template match="/">
<html>
<body>
<xsl:for-each select="/works/work">
<xsl:value-of select="@name" /><br />
</xsl:for-each>
</body>
</html>
</xsl:template>
</xsl:stylesheet>
使用echo.php文件调用xml和xsl生成html,很简单的.基本上抄书写出来的.
xml是所有语言共用的格式,方便传输.v
2007年11月8日星期四
水调歌头--光棍节随想
女友几时有,把酒问青天。不知告别单身,要等多少年?
我欲出家而去,又恐思念美女,空门不胜寒。
起舞影为伴,寂寞在人间。
追女孩,妄相思,夜难眠。
不应有恨,何时才能把梦圆。
男有高矮胖瘦,女有黑白美丑,此事古难全。
但愿人长久,光棍不再有!
2007年11月7日星期三
lightbox2
Lightbox is a simple, unobtrusive script used to overlay images on the
current page. It's a snap to setup and works on all modern browsers.
http://www.huddletogether.com/projects/lightbox2/
current page. It's a snap to setup and works on all modern browsers.
http://www.huddletogether.com/projects/lightbox2/
2007年10月25日星期四
php生成EXCEL
可以通过PHP来产生EXCEL档
----------------------------
Excel Functions
----------------------------
将下面的代码存为excel.php ,然后在页面中包括进来
----------------------------
Excel Functions
----------------------------
将下面的代码存为excel.php ,然后在页面中包括进来
然后调用
1. Call xlsBOF()
2. 将一些内容写入到xlswritenunber() 或者 xlswritelabel()中.
3.然后调用 Call xlsEOF()
也可以用 fwrite 函数直接写到服务器上,而不是用echo 仅仅在浏览器上显示。
<?php
// ----- begin of function library -----
// Excel begin of file header
function xlsBOF() {
echo pack("ssssss", 0x809, 0x8, 0x0, 0x10, 0x0, 0x0);
return;
}
// Excel end of file footer
function xlsEOF() {
echo pack("ss", 0x0A, 0x00);
return;
}
// Function to write a Number (double) into Row, Col
function xlsWriteNumber($Row, $Col, $Value) {
echo pack("sssss", 0x203, 14, $Row, $Col, 0x0);
echo pack("d", $Value);
return;
}
// Function to write a label (text) into Row, Col
function xlsWriteLabel($Row, $Col, $Value ) {
$L = strlen($Value);
echo pack("ssssss", 0x204, 8 + $L, $Row, $Col, 0x0, $L);
echo $Value;
return;
}
// ----- end of function library -----
?>
//
// To display the contents directly in a MIME compatible browser
// add the following lines on TOP of your PHP file:
<?php
header ("Expires: Mon, 26 Jul 1997 05:00:00 GMT");
header ("Last-Modified: " . gmdate("D,d M YH:i:s") . " GMT");
header ("Cache-Control: no-cache, must-revalidate");
header ("Pragma: no-cache");
header ('Content-type: application/x-msexcel');
header ("Content-Disposition: attachment; filename=EmplList.xls" );
header ("Content-Description: PHP/INTERBASE Generated Data" );
//
// the next lines demonstrate the generation of the Excel stream
//
xlsBOF(); // begin Excel stream
xlsWriteLabel(0,0,"This is a label"); // write a label in A1, use for
dates too
xlsWriteNumber(0,1,9999); // write a number B1
xlsEOF(); // close the stream
?>
订阅:
博文 (Atom)