仅允许某些用户访问某些文件夹/文件
Posted
技术标签:
【中文标题】仅允许某些用户访问某些文件夹/文件【英文标题】:allow access to certain folder/files only for some users 【发布时间】:2012-05-26 00:37:02 【问题描述】:我有一个 Weblication,它只向某些用户提供对某些页面的访问权限。现在这些页面上链接了一些文件。如果有人有 URL,每个人都可以访问这些文件(在这种情况下是搜索引擎)。这应该改变!如何保护这样的目录?我想到了两种可能:
htaccess:每次创建新用户时输入用户名 + 密码 -> 不适合该类型的项目(还需要第二次登录) download.php?file=xxx:不知道如何在 Weblication 中的所有链接(静态页面)中包含这样一个还有其他可能吗?
【问题讨论】:
您能否详细说明“不知道如何在 Weblication 中的所有链接中包含这样一个”,以便我尝试更详细的答案。 Weblication 是由静态页面构建的。但由于它是一个 CMS,用户可以编辑内容,但它仍然是一个静态页面。所以我不知道如何为现有页面和用户未来内容的所有下载链接添加 download.php。 【参考方案1】:取自this link并翻译(但仅在WaybackMachine中可用)。
借助 mod_rewrite 的个性化输出
借助wCheckPermissionViewFile功能可以个性化php文件。在文件头中执行权限检查以抑制输出就足够了。如果需要个性化其他文件类型(例如 ZIP、PDF、...),可以使用wPermission.cgi 或自定义 php 文件。
为了在每个指向二进制文件的个性化链接之前为编辑器节省一些编写wPermission.cgi 的工作,可以使用Apache 模块mod_rewrite。有了这个,可以在执行之前转换每个访问的链接。例如,您可以将wPermission.cgi 定义在每个网络服务器调用的前面。直接执行也可以在 php 文件的帮助下重定向(不需要wPermission.cgi)。
通过 Perl (wPermission.cgi) 检查的 .htaccess 文件示例
#Alle Dateien mit angegebener Endung über wPermission.cgi aufrufen.
RewriteEngine on
RewriteCond %REQUEST_URI .pdf$ [NC,OR]
RewriteCond %REQUEST_URI .doc$ [NC,OR]
RewriteCond %REQUEST_URI .xls$ [NC,OR]
RewriteCond %REQUEST_URI .ppt$ [NC,OR]
RewriteCond %REQUEST_URI .pps$ [NC,OR]
RewriteCond %REQUEST_URI .zip$ [NC,OR]
RewriteCond %REQUEST_URI .jpg$ [NC,OR]
RewriteCond %REQUEST_URI .jpeg$ [NC,OR]
RewriteCond %REQUEST_URI .png$ [NC,OR]
RewriteCond %REQUEST_URI .gif$ [NC]
RewriteRule (.*) /cgi-bin/wPermission.cgi?file=/de/dokumente/$1
.htacces 文件的示例,通过 PHP 进行检查(例如 download.php,见下文)
#Alle Dateien mit angegebener Endung über die angegebene PHP-Datei aufrufen.
RewriteEngine on
RewriteCond %REQUEST_URI .pdf$ [NC,OR]
RewriteCond %REQUEST_URI .doc$ [NC,OR]
RewriteCond %REQUEST_URI .xls$ [NC,OR]
RewriteCond %REQUEST_URI .ppt$ [NC,OR]
RewriteCond %REQUEST_URI .pps$ [NC,OR]
RewriteCond %REQUEST_URI .zip$ [NC,OR]
RewriteCond %REQUEST_URI .jpg$ [NC,OR]
RewriteCond %REQUEST_URI .jpeg$ [NC,OR]
RewriteCond %REQUEST_URI .png$ [NC,OR]
RewriteCond %REQUEST_URI .gif$ [NC]
RewriteRule (.*) /de/download.php?path=/de/dokumente/$1
说明
如果您想个性化目录/de/dokumente 中的所有PDF 和ZIP 文件而不更改链接,您可以将.htaccess 文件放入该目录。在这个文件中定义了重定向规则。
规则可以用任意文件扩展名进行扩展,NC 代表不区分大小写。请注意,这些规则也会继承到子目录中。
二进制文件本身必须签入并提供相应的个性化设置。
如果您想检查文件是否处于有效的发布时间段(例如在线或离线),请在通过 PHP API wIsOnline 进行权限检查之前进行检查。
示例:download.php 用于实现“.htacces 文件通过 PHP 的检查(例如 download.php)”
<?php
////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//
// Dieses Skript erzwingt den Download von Dokumenten. PDF, DOC, XLS und PPT Dokumente werden je nach Browser angezeigt.
//
////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
// Einlesen der Weblication(r) 4.x API:
require_once ($_SERVER["DOCUMENT_ROOT"]."/weblication/lib/WAPI/WAPI.inc");
$filenameRel = str_replace("..", "", $_GET['path']);
$filename = $_SERVER['DOCUMENT_ROOT'].$filenameRel;
if(preg_match("/\.\w+$/", $filename) && !preg_match("/\.(php|php5|php4|xml|xsl|cgi|pl)$/", $filename) && !preg_match("/\/weblication\//", $filename) && file_exists( $filename ) )
if(wCheckPermissionViewFile($filenameRel) == 1)
header("Pragma: no-cache");
header("Expires: 0");
header("Cache-Control: must-revalidate, post-check=0, pre-check=0");
header("Cache-Control: private", false);
if(preg_match("/\.pdf/i", $filenameRel))
header("Content-Type: application/pdf");
else if(preg_match("/\.doc/i", $filenameRel))
header("Content-Type: application/msword");
else if(preg_match("/\.xls/i", $filenameRel))
header("Content-Type: application/msexcel");
else if(preg_match("/\.ppt/i", $filenameRel))
header("Content-Type: application/mspowerpoint");
else if(preg_match("/\.pps/i", $filenameRel))
header("Content-Type: application/mspowerpoint");
else if(preg_match("/\.jpg/i", $filenameRel))
header("Content-Type: image/jpg");
else if(preg_match("/\.jpeg/i", $filenameRel))
header("Content-Type: image/jpeg");
else if(preg_match("/\.png/i", $filenameRel))
header("Content-Type: image/png");
else if(preg_match("/\.gif/i", $filenameRel))
header("Content-Type: image/gif");
else
header("Content-Type: application/force-download");
header("Content-Disposition: attachment; filename=\"".basename($filename)."\";" );
header("Content-Transfer-Encoding: binary");
header("Content-Length: ".filesize($filename));
readfile($filename);
else
print "Permission Denied!";
else
print 'Sorry, wrong path or file does not exist on the server!';
print '<br/><a href="javascript:history.back();">back</a>';
exit;
?>
对于较新版本的Weblication this link 可能会有所帮助。它是德语,因为制造商的主要语言是德语。
【讨论】:
那个页面已经不存在了。它直接重定向到启动页面dev.weblication.de - 它也是非英语的。 感谢您的信息。这是我的一篇旧帖子,我没有意识到只有链接的答案有多糟糕。我使用的 CMS 主要语言是德语,制造商的主要语言也是德语,但我认为代码本身对语言并不敏感。我更新了我的答案并附上了翻译。 那太好了,谢谢 :-) 干杯,不客气。【参考方案2】:您可以将所有文件存储在 非公开 目录中,然后编写一个页面(很像您所说的 download.php?file=xxx)来检查用户有权访问该文件,然后输出到浏览器。
编辑:
当您使用 CMS 时,我会假设用户有一个不错的 GUI,他们可以单击以选择他们希望插入/链接到的文件?如果是这种情况,您可能会找到它用于创建链接的代码,然后将 http://www.whatever.com/download.php?file= 添加到文件名前,然后通过您的脚本路由下载。
【讨论】:
我认为问题中已经提到了这一点,TS 正在寻找替代方案。 我不确定,所以我还是发布了它。我也请他详细说明一下。 没问题,这甚至可以为 TS 澄清一些事情,只是想让你知道我是如何理解这个问题的。 @Chief17:感谢您的回答。我回答了你的问题。如前所述,我在 CMS 中集成 download.php 时遇到问题 ... @hakre:你为什么删除你的答案?我认为它仍然有用(它只是对我没有帮助)。以上是关于仅允许某些用户访问某些文件夹/文件的主要内容,如果未能解决你的问题,请参考以下文章