Evgenii Legotckoi
Evgenii Legotckoi11 сентября 2023 г. 16:47

Django — Защищенный медиаконтент

На одном из ресурсов, разработкой которых я занимаюсь, возникла необходимость добавления защищённого доступа к медиа контенту, с проверкой права пользователя на доступ к этому медиа контенту. Проще говоря, может ли пользователь посмотреть фотографию, которую отдаёт nginx в качестве статического контента.

На самом деле в случае nginx и django всё гораздо проще, чем кажется на первый взгляд.

Давайте разберёмся с этим на примере загрузки и отдачи фотографии.

Алгоритм работы с фотографией

  • Загрузка фотографии в специальную защищённую директорию
  • Попытка получить фотографию по прямому url к фотографии или в странице сайта (например тег img)
  • Проверка прав доступа к фотографии
  • Создание редиректа в nginx во внутреннюю защищенную директорию на сервере
  • Получение фотографии

Кажется всё просто, а теперь посмотрим, что для этого требуется.

настройки.py

Давайте настроим файл конфигурации django сайта. Обычно для загрузки медиа контента и его автоматческой отдачи через nginx в настройках пишут нечто подобное.

MEDIA_ROOT = BASE_DIR.parent / 'media'
MEDIA_URL = '/media/'

Однако в этот раз мы используем специальную защищённую директорию, которую я называю всегда protected .

MEDIA_ROOT = BASE_DIR.parent / 'protected'
MEDIA_URL = '/media/'

Таким образом, мы говорим, что во внешнем пространстве это у нас "media" , а в тёмных чертогах сервера это "protected" .

Такой код может соответствовать следующей структуре директорий.

  • /home/www/django_project_root_folder - это основная директория, где находится проект, статические и меда каталоги, а также виртуальное окружение
  • /home/www/django_project_root_folder/protected — защищенный каталог мультимедиа.
  • /home/www/django_project_root_folder/static - директория со статическим контентом
  • /home/www/django_project_root_folder/django_project — ваше приложение django
  • /home/www/django_project_root_folder/python_venv - виртуальное окружение

Мне на данный момент нравится именно такая структура, поскольку в случае измения версии python, то есть обновлении виртуального окружения, можно просто инийиализировать новое окружение и поменять пару строчек в конфигурации, чтобы приложение сайта запускалось уже из нового виртаульного окружения. При этом не пострадает ни репозиторий проекта, ни статические файлы, ни медиа контент.

Конфигурация nginx

Приведу маленький кусок конфигурации, которая отвечает непосредственно за настройку доступа nginx к защищённой директории

 server {

     # Other code

     location /protected/ {
        internal;
        root /home/www/django_project_root_folder/;
        expires 30d;
    }
}

Этим кодом мы просто указываем, где находится каталог protected и что он является внутренним, то есть просто так без специального допуска пользователь не получит его содержимое.

Загрузка фотографий

Для работы с фотографиями я использую на данный такую модель данных, конечно с доработками под конкретный проект, но основа одна и та же

# -*- coding: utf-8 -*-

import os
import uuid

from django.contrib.gis.db import models
from django.db.models.signals import post_delete
from django.dispatch import receiver
from django.utils.translation import gettext_lazy as _

from photo.fields import WEBPField
from photo.managers import PhotoManager


def image_folder(instance, filename):
    return 'photos/{}.webp'.format(uuid.uuid4().hex)


class Photo(models.Model):
    class Meta:
        verbose_name = _('Photo')
        verbose_name_plural = _('Photos')

    created_at = models.DateTimeField(verbose_name=_('Created at'), auto_now_add=True)
    updated_at = models.DateTimeField(verbose_name=_('Updated at'), auto_now=True)
    height = models.IntegerField(verbose_name=_('Height'), default=0, blank=True, null=True)
    width = models.IntegerField(verbose_name=_('Width'), default=0, blank=True, null=True)
    image = WEBPField(
        verbose_name=_('Image'),
        upload_to=image_folder,
        height_field='height',
        width_field='width',
    )

    def filename(self):
        return os.path.basename(self.image.name)


@receiver(post_delete, sender=Photo)
def auto_delete_image_on_delete(sender, instance, **kwargs):
    if instance.image:
        if os.path.isfile(instance.image.path):
            os.remove(instance.image.path)

Здесь используется специальное поле WEBPField , о котором я уже рассказывал. Это поле, которое на лету конвертирует изображение в формат webp. Также здесь есть код для автоматического удаления фотографий с сервера. Но не это самое главное.

Самым главным является вот эта функция

def image_folder(instance, filename):
    return 'photos/{}.webp'.format(uuid.uuid4().hex)

Эта фуннкция генерирует имя файла и указывается куда сохранить файл на сервере относительно protected каталога.

В итоге фотография будет сохранена по следующему пути

/home/www/django_project_root_folder/protected/photos/0aec484a6ff246d7ad5eb1b06c0a698e.webp

При этом в шаблоне код тега img будет выглядеть следующим образом

<img src="{{ photo.image.url }}"/>

А результат будет выглядеть так

<img src="/media/photos/0aec484a6ff246d7ad5eb1b06c0a698e.webp"/>

urls.py

Я начну с указания диспетчера url для получения доступа к контенту

# -*- coding: utf-8 -*-

from django.urls import path

from photo.views import photo_access

urlpatterns = [
    path('media/photos/<str:path>', photo_access, name='photo'),
]

Как видите, здесь указан url, который соответствует результирующему для тега img.

Функция photo_access

А теперь самое интересное, как именно осуществляется доступ к защищённому контенту

# -*- coding: utf-8 -*-

from django.http import HttpResponse, HttpResponseForbidden

from photo.models import Photo
from utils.shortcuts import get_object_or_none


def photo_access(request, path):
    def create_x_accel_redirect(path):
        response = HttpResponse()
        # Content-type will be detected by nginx
        del response['Content-Type']
        response['X-Accel-Redirect'] = '/protected/photos/' + path
        return response

    photo = get_object_or_none(Photo, image='photos/' + path)
    if photo is None:
        return HttpResponseForbidden('Not authorized to access this media.')

    # Some another check code
    if condition is True:
        return create_x_accel_redirect(path)

    if request.user.is_authenticated and request.user.is_staff:
        return create_x_accel_redirect(path)

    return HttpResponseForbidden('Not authorized to access this media.')

В данной функции мы проверяем, является ли пользователем авторизованным представителем администрации ресурса и существует ли объект фотографии. А также можно добавить какие угодно иные условия.

Если они выполняются, то с помощью функции create_x_accel_redirect мы добавляем директиву, которая делает редирект запроса внутри nginx на изображение.

То есть мы заменяем /media/photos/0aec484a6ff246d7ad5eb1b06c0a698e.webp на /protected/photos/0aec484a6ff246d7ad5eb1b06c0a698e.webp и перенаправляем запрос с директивой X-Accel-Redirect .
Таким образом nginx отдаёт контент из защищённой директории по media url.

Подробнее с директивой X-Accel-Redirect вы можете ознакомиться на официальной wiki nginx

Рекомендуем хостинг TIMEWEB
Рекомендуем хостинг TIMEWEB
Стабильный хостинг, на котором располагается социальная сеть EVILEG. Для проектов на Django рекомендуем VDS хостинг.

Вам это нравится? Поделитесь в социальных сетях!

Комментарии

Только авторизованные пользователи могут публиковать комментарии.
Пожалуйста, авторизуйтесь или зарегистрируйтесь
m
  • molni99
  • 26 октября 2024 г. 8:37

C++ - Тест 004. Указатели, Массивы и Циклы

  • Результат:80баллов,
  • Очки рейтинга4
m
  • molni99
  • 26 октября 2024 г. 8:29

C++ - Тест 004. Указатели, Массивы и Циклы

  • Результат:20баллов,
  • Очки рейтинга-10

C++ - Тест 003. Условия и циклы

  • Результат:42баллов,
  • Очки рейтинга-8
Последние комментарии
A
ALO1ZE19 октября 2024 г. 15:19
Читалка fb3-файлов на Qt Creator Подскажите как это запустить? Я не шарю в программировании и кодинге. Скачал и установаил Qt, но куча ошибок выдается и не запустить. А очень надо fb3 переконвертировать в html
ИМ
Игорь Максимов5 октября 2024 г. 14:51
Django - Урок 064. Как написать расширение для Python Markdown Приветствую Евгений! У меня вопрос. Можно ли вставлять свои классы в разметку редактора markdown? Допустим имея стандартную разметку: <ul> <li></li> <li></l…
d
dblas55 июля 2024 г. 18:02
QML - Урок 016. База данных SQLite и работа с ней в QML Qt Здравствуйте, возникает такая проблема (я новичок): ApplicationWindow неизвестный элемент. (М300) для TextField и Button аналогично. Могу предположить, что из-за более новой верси…
k
kmssr9 февраля 2024 г. 1:43
Qt Linux - Урок 001. Автозапуск Qt приложения под Linux как сделать автозапуск для флэтпака, который не даёт создавать файлы в ~/.config - вот это вопрос ))
АК
Анатолий Кононенко5 февраля 2024 г. 8:50
Qt WinAPI - Урок 007. Работаем с ICMP Ping в Qt Без строки #include <QRegularExpressionValidator> в заголовочном файле не работает валидатор.
Сейчас обсуждают на форуме
jd
jasmine disouza28 октября 2024 г. 10:58
GeForce Now India: Unlocking the Future of Cloud Gaming GeForce Now India has a major impact on the gaming scene by introducing NVIDIA's cloud gaming service to Indian gamers. GeForce Now India lets you stream top-notch PC games on any device, from b…
9
9Anonim25 октября 2024 г. 16:10
Машина тьюринга // Начальное состояние 0 0, ,<,1 // Переход в состояние 1 при пустом символе 0,0,>,0 // Остаемся в состоянии 0, двигаясь вправо при встрече 0 0,1,>…
J
JacobFib17 октября 2024 г. 10:27
добавить qlineseries в функции Пользователь может получить любые разъяснения по интересующим вопросам, касающимся обработки его персональных данных, обратившись к Оператору с помощью электронной почты https://topdecorpro.ru…
ИМ
Игорь Максимов3 октября 2024 г. 11:05
Реализация навигации по разделам Спасибо Евгений!
JW
Jhon Wick1 октября 2024 г. 22:52
Indian Food Restaurant In Columbus OH| Layla’s Kitchen Indian Restaurant If you're looking for a truly authentic https://www.laylaskitchenrestaurantohio.com/ , Layla’s Kitchen Indian Restaurant is your go-to destination. Located at 6152 Cleveland Ave, Colu…

Следите за нами в социальных сетях