Evgenii Legotckoi
Evgenii Legotckoi11 сентября 2023 г. 16:47

Django — Защищенный медиаконтент

На одном из ресурсов, разработкой которых я занимаюсь, возникла необходимость добавления защищённого доступа к медиа контенту, с проверкой права пользователя на доступ к этому медиа контенту. Проще говоря, может ли пользователь посмотреть фотографию, которую отдаёт nginx в качестве статического контента.

На самом деле в случае nginx и django всё гораздо проще, чем кажется на первый взгляд.

Давайте разберёмся с этим на примере загрузки и отдачи фотографии.

Алгоритм работы с фотографией

  • Загрузка фотографии в специальную защищённую директорию
  • Попытка получить фотографию по прямому url к фотографии или в странице сайта (например тег img)
  • Проверка прав доступа к фотографии
  • Создание редиректа в nginx во внутреннюю защищенную директорию на сервере
  • Получение фотографии

Кажется всё просто, а теперь посмотрим, что для этого требуется.

настройки.py

Давайте настроим файл конфигурации django сайта. Обычно для загрузки медиа контента и его автоматческой отдачи через nginx в настройках пишут нечто подобное.

MEDIA_ROOT = BASE_DIR.parent / 'media'
MEDIA_URL = '/media/'

Однако в этот раз мы используем специальную защищённую директорию, которую я называю всегда protected .

MEDIA_ROOT = BASE_DIR.parent / 'protected'
MEDIA_URL = '/media/'

Таким образом, мы говорим, что во внешнем пространстве это у нас "media" , а в тёмных чертогах сервера это "protected" .

Такой код может соответствовать следующей структуре директорий.

  • /home/www/django_project_root_folder - это основная директория, где находится проект, статические и меда каталоги, а также виртуальное окружение
  • /home/www/django_project_root_folder/protected — защищенный каталог мультимедиа.
  • /home/www/django_project_root_folder/static - директория со статическим контентом
  • /home/www/django_project_root_folder/django_project — ваше приложение django
  • /home/www/django_project_root_folder/python_venv - виртуальное окружение

Мне на данный момент нравится именно такая структура, поскольку в случае измения версии python, то есть обновлении виртуального окружения, можно просто инийиализировать новое окружение и поменять пару строчек в конфигурации, чтобы приложение сайта запускалось уже из нового виртаульного окружения. При этом не пострадает ни репозиторий проекта, ни статические файлы, ни медиа контент.

Конфигурация nginx

Приведу маленький кусок конфигурации, которая отвечает непосредственно за настройку доступа nginx к защищённой директории

 server {

     # Other code

     location /protected/ {
        internal;
        root /home/www/django_project_root_folder/;
        expires 30d;
    }
}

Этим кодом мы просто указываем, где находится каталог protected и что он является внутренним, то есть просто так без специального допуска пользователь не получит его содержимое.

Загрузка фотографий

Для работы с фотографиями я использую на данный такую модель данных, конечно с доработками под конкретный проект, но основа одна и та же

# -*- coding: utf-8 -*-

import os
import uuid

from django.contrib.gis.db import models
from django.db.models.signals import post_delete
from django.dispatch import receiver
from django.utils.translation import gettext_lazy as _

from photo.fields import WEBPField
from photo.managers import PhotoManager


def image_folder(instance, filename):
    return 'photos/{}.webp'.format(uuid.uuid4().hex)


class Photo(models.Model):
    class Meta:
        verbose_name = _('Photo')
        verbose_name_plural = _('Photos')

    created_at = models.DateTimeField(verbose_name=_('Created at'), auto_now_add=True)
    updated_at = models.DateTimeField(verbose_name=_('Updated at'), auto_now=True)
    height = models.IntegerField(verbose_name=_('Height'), default=0, blank=True, null=True)
    width = models.IntegerField(verbose_name=_('Width'), default=0, blank=True, null=True)
    image = WEBPField(
        verbose_name=_('Image'),
        upload_to=image_folder,
        height_field='height',
        width_field='width',
    )

    def filename(self):
        return os.path.basename(self.image.name)


@receiver(post_delete, sender=Photo)
def auto_delete_image_on_delete(sender, instance, **kwargs):
    if instance.image:
        if os.path.isfile(instance.image.path):
            os.remove(instance.image.path)

Здесь используется специальное поле WEBPField , о котором я уже рассказывал. Это поле, которое на лету конвертирует изображение в формат webp. Также здесь есть код для автоматического удаления фотографий с сервера. Но не это самое главное.

Самым главным является вот эта функция

def image_folder(instance, filename):
    return 'photos/{}.webp'.format(uuid.uuid4().hex)

Эта фуннкция генерирует имя файла и указывается куда сохранить файл на сервере относительно protected каталога.

В итоге фотография будет сохранена по следующему пути

/home/www/django_project_root_folder/protected/photos/0aec484a6ff246d7ad5eb1b06c0a698e.webp

При этом в шаблоне код тега img будет выглядеть следующим образом

<img src="{{ photo.image.url }}"/>

А результат будет выглядеть так

<img src="/media/photos/0aec484a6ff246d7ad5eb1b06c0a698e.webp"/>

urls.py

Я начну с указания диспетчера url для получения доступа к контенту

# -*- coding: utf-8 -*-

from django.urls import path

from photo.views import photo_access

urlpatterns = [
    path('media/photos/<str:path>', photo_access, name='photo'),
]

Как видите, здесь указан url, который соответствует результирующему для тега img.

Функция photo_access

А теперь самое интересное, как именно осуществляется доступ к защищённому контенту

# -*- coding: utf-8 -*-

from django.http import HttpResponse, HttpResponseForbidden

from photo.models import Photo
from utils.shortcuts import get_object_or_none


def photo_access(request, path):
    def create_x_accel_redirect(path):
        response = HttpResponse()
        # Content-type will be detected by nginx
        del response['Content-Type']
        response['X-Accel-Redirect'] = '/protected/photos/' + path
        return response

    photo = get_object_or_none(Photo, image='photos/' + path)
    if photo is None:
        return HttpResponseForbidden('Not authorized to access this media.')

    # Some another check code
    if condition is True:
        return create_x_accel_redirect(path)

    if request.user.is_authenticated and request.user.is_staff:
        return create_x_accel_redirect(path)

    return HttpResponseForbidden('Not authorized to access this media.')

В данной функции мы проверяем, является ли пользователем авторизованным представителем администрации ресурса и существует ли объект фотографии. А также можно добавить какие угодно иные условия.

Если они выполняются, то с помощью функции create_x_accel_redirect мы добавляем директиву, которая делает редирект запроса внутри nginx на изображение.

То есть мы заменяем /media/photos/0aec484a6ff246d7ad5eb1b06c0a698e.webp на /protected/photos/0aec484a6ff246d7ad5eb1b06c0a698e.webp и перенаправляем запрос с директивой X-Accel-Redirect .
Таким образом nginx отдаёт контент из защищённой директории по media url.

Подробнее с директивой X-Accel-Redirect вы можете ознакомиться на официальной wiki nginx

Рекомендуем хостинг TIMEWEB
Рекомендуем хостинг TIMEWEB
Стабильный хостинг, на котором располагается социальная сеть EVILEG. Для проектов на Django рекомендуем VDS хостинг.

Вам это нравится? Поделитесь в социальных сетях!

Комментарии

Только авторизованные пользователи могут публиковать комментарии.
Пожалуйста, авторизуйтесь или зарегистрируйтесь
AD

C++ - Тест 004. Указатели, Массивы и Циклы

  • Результат:50баллов,
  • Очки рейтинга-4
m
  • molni99
  • 26 октября 2024 г. 11:37

C++ - Тест 004. Указатели, Массивы и Циклы

  • Результат:80баллов,
  • Очки рейтинга4
m
  • molni99
  • 26 октября 2024 г. 11:29

C++ - Тест 004. Указатели, Массивы и Циклы

  • Результат:20баллов,
  • Очки рейтинга-10
Последние комментарии
ИМ
Игорь Максимов22 ноября 2024 г. 22:51
Django - Урок 017. Кастомизированная страница авторизации на Django Добрый вечер Евгений! Я сделал себе авторизацию аналогичную вашей, все работает, кроме возврата к предидущей странице. Редеректит всегда на главную, хотя в логах сервера вижу запросы на правильн…
Evgenii Legotckoi
Evgenii Legotckoi1 ноября 2024 г. 0:37
Django - Урок 064. Как написать расширение для Python Markdown Добрый день. Да, можно. Либо через такие же плагины, либо с постобработкой через python библиотеку Beautiful Soup
A
ALO1ZE19 октября 2024 г. 18:19
Читалка fb3-файлов на Qt Creator Подскажите как это запустить? Я не шарю в программировании и кодинге. Скачал и установаил Qt, но куча ошибок выдается и не запустить. А очень надо fb3 переконвертировать в html
ИМ
Игорь Максимов5 октября 2024 г. 17:51
Django - Урок 064. Как написать расширение для Python Markdown Приветствую Евгений! У меня вопрос. Можно ли вставлять свои классы в разметку редактора markdown? Допустим имея стандартную разметку: <ul> <li></li> <li></l…
d
dblas55 июля 2024 г. 21:02
QML - Урок 016. База данных SQLite и работа с ней в QML Qt Здравствуйте, возникает такая проблема (я новичок): ApplicationWindow неизвестный элемент. (М300) для TextField и Button аналогично. Могу предположить, что из-за более новой верси…
Сейчас обсуждают на форуме
Evgenii Legotckoi
Evgenii Legotckoi25 июня 2024 г. 1:11
добавить qlineseries в функции Я тут. Работы оень много. Отправил его в бан.
t
tonypeachey115 ноября 2024 г. 17:04
google domain [url=https://google.com/]domain[/url] domain [http://www.example.com link title]
NSProject
NSProject4 июня 2022 г. 13:49
Всё ещё разбираюсь с кешем. В следствии прочтения данной статьи. Я принял для себя решение сделать кеширование свойств менеджера модели LikeDislike. И так как установка evileg_core для меня не была возможна, ибо он писался…
9
9Anonim25 октября 2024 г. 19:10
Машина тьюринга // Начальное состояние 0 0, ,<,1 // Переход в состояние 1 при пустом символе 0,0,>,0 // Остаемся в состоянии 0, двигаясь вправо при встрече 0 0,1,>…

Следите за нами в социальных сетях