Générer ip et limité dans le temps lien de téléchargement

il y a un lien direct pour télécharger un fichier. les utilisateurs peuvent télécharger ce lien après paiement, comme ceci:

http://example.com/download/webapp.rar

Mais j'ai besoin de générer ip et limité dans le temps lien de téléchargement pour empêcher la sangsue le fichier avec d'autres personnes. Je veux faire cela sans l'utilisation de bases de données. quelque chose comme ceci :

http://example.com/download.php?a5fds588fgdf

ou

http://example.com/download/a5fds588fgdf

est-il des astuces?

  • "Sans les bases de données"? Ce genre d'exigence est qui? Vous devez absolument pour stocker des données afin de résoudre ce problème, et une base de données est le meilleur endroit en mesure de le faire. Pourquoi sur la terre sont que vous essayez d'éviter d'utiliser une base de données?
  • Sans la base de données, vous pouvez atteindre cet objectif en utilisant cookies en définissant leurs expiry. Cependant, la difficulté, c'est que vous pouvez supprimer les cookies. donc ce n'est pas fiable.
  • outre le fait que les cookies peuvent être usurpée si facilement à les rendre assez inutile pour cette...
  • WTF serais sur le dur "pas de base de données" chose que je n'avais pas remarqué le "bind-à-IP' chose. C'est une idée terrible. IPs ne sont pas fixes, et l'adresse à payer pour le téléchargement et l'adresse utilisée pour lancer le téléchargement ne pas correspondre. C'est pourquoi personne ne le fait. Le modèle typique que j'ai remarqué, c'est de plafonner le nombre de téléchargements à 5, ou de quelque chose. Réduire au minimum les "sangsues" sans totalement vissage certains de vos légitimes des utilisateurs.
  • Je ne veux pas utiliser la DB en raison de mon site web n'est pas DB conduit.
  • accepté réponse est erronée. On ne doit jamais divulguer les pièces utilisées pour générer le hachage. jetez un oeil à TOTP mécanismes: en.wikipedia.org/wiki/Time-based_One-time_Password_Algorithm

InformationsquelleAutor Morteza | 2011-10-27
  1. 27

    Il y a vraiment une bonne nginx module de cela.

    L'URL obtient deux paramètres - appelons-s (sécurité) et t (timestamp). La sécurité est un secure hash généré à partir de l'horodatage, le chemin d'accès et un sel (dans votre cas, il suffit d'ajouter la propriété intellectuelle).

    $ip = $_SERVER['REMOTE_ADDR'];
$salt = 'change me cause im not secure';
$path = '/download/webapp.rar';
$timestamp = time() + 3600; //one hour valid
$hash = md5($salt . $ip . $timestamp . $path); //order isn't important at all... just do the same when verifying
$url = "http://mysite.com{$path}?s={$hash}&t={$timestamp}"; //use this as DL url

    À vérifier:

    $ip = $_SERVER['REMOTE_ADDR'];
$salt = 'change me cause im not secure';
$path = $_SERVER['REQUEST_URI'];
$hashGiven = $_GET['s'];
$timestamp = $_GET['t'];
$hash = md5($salt . $ip . $timestamp . $path);
if($hashGiven == $hash && $timestamp <= time()) {
    //serve file
} else {
    die('link expired or invalid');
}

    Maintenant, vous avez juste besoin de réécrire les téléchargements à ce "man in the middle"script-et vous avez terminé.

    Exemple de réécriture pour nginx:

    location /download {
    rewrite ^.*$ /download.php last;
    break;
}

    Je ne suis pas vraiment familier avec apache réécrit de sorte que vous pouvez vérifier par vous-même.

    Si vous utilisez l'un des modules suivants, vous n'avez pas besoin de vérifier tout cela vous-même et c'est beaucoup mieux en terme de performance, mais remarque qu'il accorde plus de la configuration et parfois une autre façon de générer l'url et de hachage (voir le module docs ici).

    Ou vous venez d'utiliser la nginx lien sécurisé module: http://wiki.nginx.org/HttpSecureLinkModule

    Il y a aussi un pendentif pour lighty: http://redmine.lighttpd.net/wiki/1/Docs:ModSecDownload

    Ou la nginx secure module de téléchargement: http://wiki.nginx.org/HttpSecureDownload

    Peut-être il ya quelque chose pour apache trop... Peut-être que vous pourriez faire quelque chose avec réécrit là...

    • C'est un incroyable, un brillant moyen de le mettre ! Merci !
    • Merci s'accoupler , pouvez-vous mettre mon exemple de lien vers votre script (pour mon test)
    • J'ai réécrit ma réponse pour correspondre à votre exemple, et ajouté un peu plus d'informations de ce qui est à prendre en compte.
    • est-il possible de supprimer/encoder $path de lien généré ?
    • Il serait possible d'utiliser des id et une base de données etc. oui. Juste l'utiliser dans votre logique et l'utiliser n'importe où le chemin est utilisé dans cet exemple.
    • J'ai trouvé j'ai besoin d'ajouter $path = parse_url( $_SERVER['REQUEST_URI'], PHP_URL_PATH ); de sorte que le haché chemin dans le récepteur script ne tirez pas dans la requête de vars, et $timestamp <= time() devrait être $timestamp >= time()
    • $timestamp <= time() est correct puisque vous voulez invalider le lien sur ce timestamp pas valide à partir de là.
    • La divulgation de pièces de les valeurs de hachage est une mauvaise pratique. Vous êtes à la divulgation de l'heure ici. Mieux utiliser les 30 secondes lacunes, jetez un oeil à TOTP mécanismes: en.wikipedia.org/wiki/Time-based_One-time_Password_Algorithm

    InformationsquelleAutor Hikaru-Shindo
  2. 4

    Si vous n'êtes pas préoccupé par les gens d'être en mesure de décoder certains paramètres comme l'adresse IP ou l'horodatage vous pouvez essayer quelque chose comme ceci :

    <?php
$salt = 'SALTING'; //Hash cipher
$key = new stdClass();
$key->limit = time()+3600; //1 hour limit
$key->ip = $_SERVER['REMOTE_ADDR'];
$key->security = sha1(sha1($salt.serialize($key))); //Double sha1 for fun

$key_param = base64_encode(serialize($key));

echo sprintf('http://mysite.com/download/%s', $key_param);
?>

    Maintenant c'est pour l'obtention d'une clé unique, valable 1 heure, pour les ip $key->ip.

    Pour le vérifier :

    <?php
$salt = 'SALTING';
$key = $_GET['key'];
$key = base64_decode($key);
$key = unserialize($key);
if($key->security != sha1(sha1($salt.serialize($key)) || $_SERVER['REMOTE_ADDR'] != $key->ip) {
    throw new Exception('Security breach. U mad bro ?');
}
?>

    Et vous avez terminé 🙂 Pas de base de données concernées. Juste le hachage et la correspondance des hachages par la suite.

    Mais je suppose qu'un simple $_SESSION[$file_id] = time()+3600; ferait l'affaire en une seule ligne...Pas aussi amusant même si.

    • Problème ?
    • Merci, où je dois mettre mon nom de fichier "webapp.rar" ?
    • Eh bien, où je me fais l'écho de votre URL ?
    • bien dit! de façon succincte et simple, je voulais ajouter que mon partenaire et j'ai créé (un peu plus élaboré, mais!) pour ce type de script... (va rester sous silence parce que ce serait impoli de promouvoir un produit ici), mais nous avons fait de la confiture dans quelques éléments d'information sur la touche $susmentionnés par Tom ci-dessus. Ajouter toutes sortes d'occasions - comme le "referer" vérification de diffusion (pour n'en nommer que quelques-uns ;), etc... attention aussi de l'url limites, que vous êtes les yeux s'écarquillent à l'encodage base64 de presque n'importe quoi dans l'url 🙂
    • aussi, ne oubliez pas le délai vérifier aussi bien sur la vérification côté des choses ($key->limiter la vérification...)
    • Erm oui, les gens ont obtenu le point de droit ?
    • Où est le meilleur?
    • Je pense que le problème avec cela est que le hachage est valable pour tous les téléchargements. Vous avez besoin de prendre l'uri de la demande en compte si le hash n'est valable que pour un fichier spécifique sur le serveur.
    • Cette tasse a été de faire le tour au travail: i39.tinypic.com/msiyde.jpg
    • Je suppose que les gens ont eu le point de droit ?
    • Malade mug !

    InformationsquelleAutor Tom
  3. 0

    Mon meilleur conseil serait d'utiliser une base de données!

    Mais si vous avez absolument, positivement le faire sans alors je vous suggérons d'utiliser une bibliothèque de mise en cache comme le cache-lite: http://pear.php.net/manual/en/package.caching.cache-lite.intro.php

    De nombreux frameworks PHP (si vous en utilisez un) viennent également avec une mise en cache de la bibliothèque

    Vous pouvez mettre en cache l'adresse IP et clé aléatoire vous attribuer avec une date d'expiration (certains cache bibliothèques vous permettra aussi d'affecter la validité du cache de temps)

    InformationsquelleAutor Nick Long