SpringBoot实现文章防盗链的代码设计

 更新时间:2024年05月13日 09:48:57   作者:shigen01  
这篇文章主要介绍了SpringBoot实现文章防盗链的代码设计,文中通过代码示例讲解的非常详细,对大家实现文章防盗链功能有一定的帮助,需要的朋友可以参考下

Java技术迷

来今天的正题:springboot实现图片防盗链。可能看起来场景比较抽象,这里shigen给出之前的一个例子:对象存储服务的流量被盗刷了,当时官方给的解决方案包括我后来采用的方式就是referer的限制。

后来我的对象存储服务的流量就正常了。那今天我也是好奇这个用springboot怎么实现。在接下来的内容中,我将会着重分享我的设计。

首先了解一下Referer是什么吧。

什么是Referer

这里告别充满广告和垃圾网站的搜索引擎,直接GPT查询:

Referer(来源)是HTTP头部字段之一,用于指示客户端是从哪个页面跳转或发起请求的。当客户端(通常是浏览器)向服务器发送请求时,它会在HTTP头部中包含 Referer 字段,告诉服务器请求的来源页面的URL。这个字段可以帮助服务器了解请求的上下文和用户行为,有助于进行数据分析、安全检查等操作。

也就是说请求一个资源的时候,浏览器的请求头信息中会带上Referer字段标示出当下的请求的上一个请求是什么地方来的。

那基于这个原理,我们就可以设计出自己的防盗链。

java代码的设计

基础版

假设我们的springboot项目中可以直接通过http请求访问到某个路径下的资源。我们先这样的尝试吧。我们的配置肯定要实现WebMvcConfigurer这个接口,实现资源的映射。那我就直接展示我的代码:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
@Configuration
@EnableWebMvc
@Slf4j
public class MvcConfig implements WebMvcConfigurer {
    /**
     * 静态资源保存目录
     */
    public static final String FILE_RESOURCE_PATH = "file:" + System.getProperty("user.dir") + "/files/";
    @Override
    public void addResourceHandlers(ResourceHandlerRegistry registry) {
        log.error("静态资源保存目录:{}", FILE_RESOURCE_PATH);
        registry.addResourceHandler("/files/**")
                .addResourceLocations(FILE_RESOURCE_PATH);
    }
}

其实我们最终实现的文件路径就是项目根路径/files/文件夹的全部文件。

这样我们就可以通过http请求访问了。

但是,明显的我们的资源不是很安全。因为任意来源、任何人都可以访问到它。那我们限制来源的话,这个时候Referer就可以派上用场了。

升级版

升级版本,我们就需要统一拦截一下请求,看看请求头中是否包含Referer信息,且是我们约定的Referer。这样才能判定是正常的请求,进行流量的放行,否则的话就是要去拦截。

接下来先去设计一个拦截器:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
@Slf4j
@Component
public class ResourceInterceptor extends HandlerInterceptorAdapter {
    @Resource
    private ReferConfig referConfig;
    /**
     * 匹配的文件种类
     */
    private static final String FILE_REGEX = "\.(html|css|js|jpg|jpeg|png|gif|bmp|svg|pdf|doc|docx|xls|xlsx|ppt|pptx|mp4|mov)$";
    private static final Pattern FILE_REGEX_PATTERN = Pattern.compile(FILE_REGEX, Pattern.CASE_INSENSITIVE);
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        // 获取请求的 URL
        String requestUrl = request.getRequestURL().toString();
        log.info("requestUrl:{}", requestUrl);
        // 检查是否是静态资源请求
        if (referConfig.isEnabled() && isStaticResource(requestUrl)) {
            // 检查防盗链策略
            if (!isValidReferer(request)) {
                response.setStatus(HttpServletResponse.SC_FORBIDDEN);
                return false;
            }
        }
        return true;
    }
    /**
     * 正则验证请求的资源
     *
     * @param url 请求资源
     * @return 是否匹配
     */
    private boolean isStaticResource(String url) {
        return FILE_REGEX_PATTERN.matcher(url).find();
    }
    /**
     * 检查 Referer 头,判断请求是否合法
     *
     * @param request 请求
     * @return 是否是合法请求
     */
    private boolean isValidReferer(HttpServletRequest request) {
        String referer = request.getHeader("Referer");
        return CollectionUtil.contains(referConfig.getAllowedOrigins(), referer);
    }
}

具体的业务逻辑的验证都在注释里,这里需要注意:

  • 关于Referer的配置最好写成动态的,便于后期的拓展
  • 对于url的请求判断最好使用正则表达式,因为url本身请求的就是静态资源,但是后边带了其他的参数可能导致直接绕过

对于自定的配置类,shigen是这样的设计:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
@Configuration
@ConfigurationProperties(prefix = "refer")
@Data
public class ReferConfig {
    /**
     * 是否开启防盗链拦截
     */
    private boolean enabled;
    /**
     * 允许的Referer请求
     */
    private List<String> allowedOrigins;
}

接下来就是配置到拦截器上。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
@Configuration
@EnableWebMvc
@Slf4j
public class MvcConfig implements WebMvcConfigurer {
    @Resource
    private UserArgumentResolver userArgumentResolver;
    @Resource
    private ResourceInterceptor resourceInterceptor;
    /**
     * 静态资源保存目录
     */
    public static final String FILE_RESOURCE_PATH = "file:" + System.getProperty("user.dir") + "/files/";
    @Override
    public void addArgumentResolvers(List<HandlerMethodArgumentResolver> resolvers) {
        resolvers.add(userArgumentResolver);
    }
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(resourceInterceptor).addPathPatterns("/**");
    }
    @Override
    public void addResourceHandlers(ResourceHandlerRegistry registry) {
        log.error("静态资源保存目录:{}", FILE_RESOURCE_PATH);
        registry.addResourceHandler("/files/**")
                .addResourceLocations(FILE_RESOURCE_PATH);
    }
}

待一切完成,我们这里再检查一下配置文件就可以正常的启动服务进行测试了。

1
2
3
4
refer:
  enabled: true
  allowed-origins:
    - http://www.shigen.com

此时,我们再次在浏览器中直接访问:

这时我们想要正常的访问,就得借助于接口测试工具了。

以上就是SpringBoot实现文章防盗链的代码设计的详细内容,更多关于SpringBoot文章防盗链的资料请关注脚本之家其它相关文章!

蓄力AI

微信公众号搜索 “ 脚本之家 ” ,选择关注

程序猿的那些事、送书等活动等着你

原文链接:https://juejin.cn/post/7367722307202580518

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如若内容造成侵权/违法违规/事实不符,请将相关资料发送至 reterry123@163.com 进行投诉反馈,一经查实,立即处理!

相关文章

  • Mybatis错误引起的程序启动卡死问题及解决

    Mybatis错误引起的程序启动卡死问题及解决

    这篇文章主要介绍了Mybatis错误引起的程序启动卡死问题及解决方案,具有很好的参考价值,希望对大家有所帮助。如有错误或未考虑完全的地方,望不吝赐教
    2022-02-02
  • mybatis执行错误但sql执行正常问题

    mybatis执行错误但sql执行正常问题

    这篇文章主要介绍了mybatis执行错误但sql执行正常问题,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教
    2024-01-01
  • 解决无法解析javax.servlet的方法

    解决无法解析javax.servlet的方法

    最近在创建一个servlet时,自动生成的代码中出现servlet无法解析的提示,令我无法正常使用servlet里的方法,在对各个步骤进行查看后,发现了问题所在,需要的朋友可以参考下
    2021-05-05
  • MyBatis查询结果resultType返回值类型的说明

    MyBatis查询结果resultType返回值类型的说明

    这篇文章主要介绍了MyBatis查询结果resultType返回值类型的说明,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
    2020-11-11
  • SpringBoot项目URL访问异常的问题处理

    SpringBoot项目URL访问异常的问题处理

    这篇文章主要介绍了SpringBoot项目URL访问异常的问题处理方式,具有很好的参考价值,希望对大家有所帮助。如有错误或未考虑完全的地方,望不吝赐教
    2023-07-07
  • SpringBoot中的@EnableAutoConfiguration注解解析

    SpringBoot中的@EnableAutoConfiguration注解解析

    这篇文章主要介绍了SpringBoot中的@EnableAutoConfiguration注解解析,@EnableAutoConfiguration也是借助@Import的帮助,将所有符合自动配置条件的bean定义注册到IoC容器,需要的朋友可以参考下
    2023-09-09
  • 超详细讲解SpringCloud Commons公共抽象的用法

    超详细讲解SpringCloud Commons公共抽象的用法

    这篇文章主要介绍了超详细讲解SpringCloud Commons公共抽象的用法,文中示例代码介绍的非常详细,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
    2022-04-04
  • JMM核心概念之Happens-before原则

    JMM核心概念之Happens-before原则

    关于Java并发的通信机制是基于共享内存实现的,线程之间共享程序的公共状态,通过写-读内存中的公共状态进行隐式通信,这对程序员是透明的,我们需要理解其工作机制,以防止内存可见性问题,从而编写出正确同步的代码
    2021-06-06
  • 携程Apollo(阿波罗)安装部署以及java整合实现

    携程Apollo(阿波罗)安装部署以及java整合实现

    这篇文章主要介绍了携程Apollo(阿波罗)安装部署以及java整合实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
    2019-08-08
  • Java ArrayList深入源码层分析

    Java ArrayList深入源码层分析

    Java中容器对象主要用来存储其他对象,根据实现原理不同,主要有3类常用的容器对象:ArrayList使用数组结构存储容器中的元素、LinkedList使用链表结构存储容器中的元素
    2023-01-01

最新评论