定制Apache的防盗链模块

定制Apache的防盗链模块
Author: Jeff Pang pangj@earthlink.net
Date: 2008-1-8

网上介绍比较多的防盗链配置方法是使用reference来识别请求是否来自本站。但reference的弊端是很容易伪造，如迅雷之类的工具就使用了伪造的reference，让防盗链设置无效。

这里介绍的方法是自己定制Apache的防盗链模块。一般防盗链要保护的是可供下载的大型文件，如视频、图片等。这些文件以链接形式嵌入在网页里，通过点击来获取文件的绝对路径。如果嵌在网页里的文件路径未作任何保护，例如某个视频文件路径是：

http://example.com/1234.rm

那么恭喜你，不久你就会被迅雷等网站收录，成为他们的流量贡献节点了。

但如果这个视频文件的路径是：

http://example.com/1234.rm?a=33d591d3ba7ae0cedc99a65f723ad0ea

a=后面是md5加密的验证串，Apache服务器会获取这个验证串并进行校验，如果合法，则允许下载，否则拒绝访问（返回403）。这样一来，别人不知道你的验证串加密算法，也就不能盗链你的资源了。

这个串由前台网页程序产生，由后台的Apache服务器来进行验证。这里假定网页程序是PHP，当然也可以是其他任何动态语言如Perl、Python、Java等。PHP和下载服务器的Apache模块共同约定此算法，因为PHP产生一个md5加密串，后台的Apache需要用相同算法产生一个md5串，并进行对比校验。这个串的产生条件，通常包括用户IP、目标文件ID、访问时间、双方约定的ShareKey等。将这些条件联合起来，并用md5加密成一个串，然后将该串作为参数传给下载服务器的Apache。Apache获取到请求后，再对这个串进行校验。

如何在Apache端配置这个防盗链模块呢？这里我使用modperl。modperl是个非常强大的开发工具，它可以访问Apache内部的所有API，可以在Apache响应处理的各个阶段定制自己的处理器。mod_rewrite想必很多人都知道它的强大，其实mod_rewrite的功能，用modperl也可以轻松的编写出来。

Apache处理一个请求分成很多个阶段，这里我们只要在Access这个阶段做一些处理就够了。也就是说，在Apache里加载一个处理器，在文件被访问前，由该处理器对验证串进行校验，校验通过才允许访问。

在使用modperl之前，首先需要装好它。Apache有1.3版本和2.x版本，同样modperl也有1.0版本和2.0版本。1.0版本已停止开发了，处于维护阶段。出于更好的性能考虑，我们使用httpd 2.0和modperl 2.0版本。

modperl需要结合Apache进行安装，并且需要安装libapreq2。安装过程请见我的另一篇文档：http://pyh7.spaces.live.com/blog/cns!47D8D44208AC51E5!128.entry

装好modperl后，修改httpd.conf配置文件，增加如下配置：

1. PerlPostConfigRequire /opt/httpd2/run/startup.pl
2.
3. <Location /protect>
4.   SetHandler modperl
5.   PerlAccessHandler DLAuth2
6.
7.   PerlSetVar ShareKey TestKey
8.   PerlAddVar PassAuthIPs 192.168.0.1-192.168.0.254
9. </Location>

第1行的startup.pl是初始配置文件，这个文件主要有2个作用：加载处理器的运行目录，和预加载一些类库。
第3行表示/protect这个web目录下的文件，都受防盗链保护。
第4行表示设置处理器类型为modperl。
第5行是关键，这里加载了我们的Access验证模块，模块名是DLAuth2。
第7行是加密验证串的shareKey，这个Key也需要告诉前台的网页开发人员。
第8行是防盗链白名单IP，若没有，则注释掉该行即可。

接着，在Apache的根目录（这里假定是/opt/httpd2）下面创建一个run子目录，将防盗链模块DLAuth2.pm和startup.pl都放在该目录下。另外，创建/protect这个web根目录（例如/opt/httpd2/htdocs/protect），将需要防盗链保护的文件（如视频或图片）放在这个目录下，也可以将其他文件目录link或mount到该目录下。

startup.pl的内容类似如下：

use strict;

use lib qw(/opt/httpd2/run);  # 加载处理器的运行目录

#use Apache2::RequestIO ();  # 预加载的类库
use Apache2::RequestRec ();
use Apache2::Connection ();
use Apache2::RequestUtil ();
use Apache2::ServerUtil ();
use Apache2::Log ();
use Apache2::Request ();

1;  # 不要丢了这个1，表示返回真给调用者

DLAuth2.pm内容类似如下：

package DLAuth2;

use strict;
use warnings;
use Socket qw(inet_aton);
use POSIX qw(strftime);
use Digest::MD5 qw(md5_hex);

#use Apache2::RequestIO ();
use Apache2::RequestRec ();
use Apache2::Connection ();
use Apache2::RequestUtil ();
use Apache2::ServerUtil ();
use Apache2::Log ();
use Apache2::Request ();

use Apache2::Const -compile => qw(OK FORBIDDEN);

sub handler { # 处理器的钩子函数，函数名不能改

    my $r = shift;  # 请求目标
    my $q = Apache2::Request->new($r);
    my $s = Apache2::ServerUtil->server;

    my $ip = $r->connection->remote_ip;  # 获取访问者IP
    my $fid = $q->param('fid') || get_fileid();  # 获取目标文件ID

    my $ip_int = ip2int($ip);  # 将IP转换成大整数
    my $shareKey = $r->dir_config('ShareKey') || '';  # 从配置文件获取shareKey
    my @passip = $r->dir_config->get('PassAuthIPs'); # 从配置文件获取白名单IP
    my @passip_int;  # 白名单IP数组

    for (@passip) {  # 将白名单IP转换成整数数组
        if (/-/) {
            my ($start,$end) = split/-/;
            my $start_int = ip2int($start);
            my $end_int = ip2int($end);

            for (my $i=$start_int;$i<=$end_int;$i++) {
                push @passip_int,$i;
            }

        } else {
            push @passip_int, ip2int($_);
        }
    }

    for (@passip_int) {  # 如果请求IP位于白名单里，则允许访问
        return Apache2::Const::OK if $ip_int == $_;
    }

    # 日期这里取的是当前天，为防止时间不一致，在我的产品程序里，时间设置比较宽松，当前天的前后2天都是可以的。
    my $date = strftime("%Y%m%d",localtime);

    # 基于相关条件产生验证串。
    my $auth_string = generate_auth_string($ip_int, $fid, $date, $shareKey);

     # 获取请求URL的验证串，该串由前台PHP程序产生
    my $str = $q->param('a') || '';

    if ($str eq $auth_string) {
        return Apache2::Const::OK;  # 如果2串一致，则允许访问

    } else {
        $s->log_error("[$ip FORBIDDEN] Auth failed");  # 否则拒绝并记录log
        return Apache2::Const::FORBIDDEN;
    }

    return Apache2::Const::OK;  # 默认策略是允许访问
}

sub ip2int { # 将IP转换成大整数的函数
    my $ip = shift;
    my $nl = inet_aton($ip);
    die "wrong ip $!" unless defined $nl;

    return unpack('N',$nl);
}

sub generate_auth_string { # 产生验证串的函数，返回一个md5加密串
... # 你自己的代码用来产生验证串，此处算法必须和前台PHP的算法一致
}

sub get_fileid { # 获取目标文件ID的函数，简单的做法是文件名就包含ID
… # 你自己的代码用来获取目标文件ID
}

1;

配好上述后，stop再start Apache，一个强大的防盗链系统就产生了。

补充一下，上述对Apache的访问控制设置，只用到了modperl的一个很浅的功能。如果你想改造或定制Apache，实际上modperl可以做任何你想要的。如下是一些参考文档：

modperl官方文档：http://perl.apache.org/docs/index.html
modperl编程指南（本人翻译）：http://home.arcor.de/jeffpang/mod_perl/

thanks.

good;不错

用modperl能不能检查到CGI或PHP操作的文件对像是什么？

如
http://example.com/test.cgi

test.cgi 代码：
#!/usr/bin/perl
print "Content-Type: text/html\n\n";
open (FILE,">/web/tets.txt");
close (FILE);

open(F, "/web2/test2.txt");
while (<F>) {
    print $_ . "\n";
}
close(F);


如perl将在web目录写文件test.txt
和将在web2目录读文件test2.txt

我想在test.cgi运行前作一个判断，如web目录的属主和test.cgi本身的属主是不是一样，
test2.txt文件的属主和test.cgi本身的属主是不是一样等等。。。

setuid?
chroot?

当然可以.同样在AccessHandler里做些判断就行.
不过你说的这个事,直接在CGI里做不就行了么?

学习一下，不错！！

谢谢。
假如这个CGI不是我写的，所以看到你的话题顺便问一下想能不能用modperl统一在apache内部控制一下。

http://perl.apache.org/search/sw ... =&submit=search

没什么头绪，不知我要看哪部份呢？
哪部份会提及 CGI 或 PHP 将要访问的本地文件对像是什么？

如果你统一控制的话,就使用modperl的AccessHandler就可以了,实现这个功能对mp来说太easy,呵呵.