На одном из ресурсов, разработкой которых я занимаюсь, возникла необходимость добавления защищённого доступа к медиа контенту, с проверкой права пользователя на доступ к этому медиа контенту. Проще говоря, может ли пользователь посмотреть фотографию, которую отдаёт nginx в качестве статического контента.
На самом деле в случае nginx и django всё гораздо проще, чем кажется на первый взгляд.
Давайте разберёмся с этим на примере загрузки и отдачи фотографии.
Алгоритм работы с фотографией
- Загрузка фотографии в специальную защищённую директорию
- Попытка получить фотографию по прямому url к фотографии или в странице сайта (например тег img)
- Проверка прав доступа к фотографии
- Создание редиректа в nginx во внутреннюю защищенную директорию на сервере
- Получение фотографии
Кажется всё просто, а теперь посмотрим, что для этого требуется.
настройки.py
Давайте настроим файл конфигурации django сайта. Обычно для загрузки медиа контента и его автоматческой отдачи через nginx в настройках пишут нечто подобное.
MEDIA_ROOT = BASE_DIR.parent / 'media' MEDIA_URL = '/media/'
Однако в этот раз мы используем специальную защищённую директорию, которую я называю всегда protected .
MEDIA_ROOT = BASE_DIR.parent / 'protected' MEDIA_URL = '/media/'
Таким образом, мы говорим, что во внешнем пространстве это у нас "media" , а в тёмных чертогах сервера это "protected" .
Такой код может соответствовать следующей структуре директорий.
- /home/www/django_project_root_folder - это основная директория, где находится проект, статические и меда каталоги, а также виртуальное окружение
- /home/www/django_project_root_folder/protected — защищенный каталог мультимедиа.
- /home/www/django_project_root_folder/static - директория со статическим контентом
- /home/www/django_project_root_folder/django_project — ваше приложение django
- /home/www/django_project_root_folder/python_venv - виртуальное окружение
Мне на данный момент нравится именно такая структура, поскольку в случае измения версии python, то есть обновлении виртуального окружения, можно просто инийиализировать новое окружение и поменять пару строчек в конфигурации, чтобы приложение сайта запускалось уже из нового виртаульного окружения. При этом не пострадает ни репозиторий проекта, ни статические файлы, ни медиа контент.
Конфигурация nginx
Приведу маленький кусок конфигурации, которая отвечает непосредственно за настройку доступа nginx к защищённой директории
server {
# Other code
location /protected/ {
internal;
root /home/www/django_project_root_folder/;
expires 30d;
}
}
Этим кодом мы просто указываем, где находится каталог protected и что он является внутренним, то есть просто так без специального допуска пользователь не получит его содержимое.
Загрузка фотографий
Для работы с фотографиями я использую на данный такую модель данных, конечно с доработками под конкретный проект, но основа одна и та же
# -*- coding: utf-8 -*-
import os
import uuid
from django.contrib.gis.db import models
from django.db.models.signals import post_delete
from django.dispatch import receiver
from django.utils.translation import gettext_lazy as _
from photo.fields import WEBPField
from photo.managers import PhotoManager
def image_folder(instance, filename):
return 'photos/{}.webp'.format(uuid.uuid4().hex)
class Photo(models.Model):
class Meta:
verbose_name = _('Photo')
verbose_name_plural = _('Photos')
created_at = models.DateTimeField(verbose_name=_('Created at'), auto_now_add=True)
updated_at = models.DateTimeField(verbose_name=_('Updated at'), auto_now=True)
height = models.IntegerField(verbose_name=_('Height'), default=0, blank=True, null=True)
width = models.IntegerField(verbose_name=_('Width'), default=0, blank=True, null=True)
image = WEBPField(
verbose_name=_('Image'),
upload_to=image_folder,
height_field='height',
width_field='width',
)
def filename(self):
return os.path.basename(self.image.name)
@receiver(post_delete, sender=Photo)
def auto_delete_image_on_delete(sender, instance, **kwargs):
if instance.image:
if os.path.isfile(instance.image.path):
os.remove(instance.image.path)
Здесь используется специальное поле WEBPField , о котором я уже рассказывал. Это поле, которое на лету конвертирует изображение в формат webp. Также здесь есть код для автоматического удаления фотографий с сервера. Но не это самое главное.
Самым главным является вот эта функция
def image_folder(instance, filename):
return 'photos/{}.webp'.format(uuid.uuid4().hex)
Эта фуннкция генерирует имя файла и указывается куда сохранить файл на сервере относительно protected каталога.
В итоге фотография будет сохранена по следующему пути
/home/www/django_project_root_folder/protected/photos/0aec484a6ff246d7ad5eb1b06c0a698e.webp
При этом в шаблоне код тега img будет выглядеть следующим образом
<img src="{{ photo.image.url }}"/>
А результат будет выглядеть так
<img src="/media/photos/0aec484a6ff246d7ad5eb1b06c0a698e.webp"/>
urls.py
Я начну с указания диспетчера url для получения доступа к контенту
# -*- coding: utf-8 -*-
from django.urls import path
from photo.views import photo_access
urlpatterns = [
path('media/photos/<str:path>', photo_access, name='photo'),
]
Как видите, здесь указан url, который соответствует результирующему для тега img.
Функция photo_access
А теперь самое интересное, как именно осуществляется доступ к защищённому контенту
# -*- coding: utf-8 -*-
from django.http import HttpResponse, HttpResponseForbidden
from photo.models import Photo
from utils.shortcuts import get_object_or_none
def photo_access(request, path):
def create_x_accel_redirect(path):
response = HttpResponse()
# Content-type will be detected by nginx
del response['Content-Type']
response['X-Accel-Redirect'] = '/protected/photos/' + path
return response
photo = get_object_or_none(Photo, image='photos/' + path)
if photo is None:
return HttpResponseForbidden('Not authorized to access this media.')
# Some another check code
if condition is True:
return create_x_accel_redirect(path)
if request.user.is_authenticated and request.user.is_staff:
return create_x_accel_redirect(path)
return HttpResponseForbidden('Not authorized to access this media.')
В данной функции мы проверяем, является ли пользователем авторизованным представителем администрации ресурса и существует ли объект фотографии. А также можно добавить какие угодно иные условия.
Если они выполняются, то с помощью функции create_x_accel_redirect мы добавляем директиву, которая делает редирект запроса внутри nginx на изображение.
То есть мы заменяем
/media/photos/0aec484a6ff246d7ad5eb1b06c0a698e.webp
на
/protected/photos/0aec484a6ff246d7ad5eb1b06c0a698e.webp
и перенаправляем запрос с директивой
X-Accel-Redirect
.
Таким образом nginx отдаёт контент из защищённой директории по media url.
Подробнее с директивой X-Accel-Redirect вы можете ознакомиться на официальной wiki nginx
