这是一个创建于 1211 天前的主题,其中的信息可能已经有所发展或是发生改变。
就是某个路径下的资源要判断 jwt 字段subscribed为 1 且 jwt 没过期才能访问,否则返回 403
本来打算用 worker intercept 试试,后来看了下还是直接把 jwt 塞进 cookies 方便,只能用来获取资源的 jwt 不防跨站也没什么安全隐患
静态资源在独立的服务器上
自己写一个的话缓存不好实现,访问量不小,预算给的又少
(现在的做法是登录会员账号后往 cookies 里写固定 key ,nginx 直接两个 if 判断密码对不对,太不安全了,所有用户共用相同 key 很容易有人分享出去)
7 条回复 2022-12-19 10:52:27 +08:00
 | 1 malusama 2022 年 12 月 17 日 啥意思. 你们瓶颈都在解析 jwt 上面了? |
 | 3 xuanbg 2022 年 12 月 17 日 这个独立服务器能用 nfs 挂载到本地么? |
 | 4 netnr 2022 年 12 月 17 日 via Android 那改成 auth basic ,可以配置多个账号密码,自带模块支持 |
 | 5 tree2525 2022 年 12 月 17 日 用 Go 语言写过一个 JWT 鉴权的文件下载;但不算高性能 |
 | 7 Envov 2022 年 12 月 19 日 nginx 支持 lua 脚本或者 js 脚本,实现这个功能非常简单 https://github.com/nginx/njs-examples#getting-arbitrary-field-from-jwt-as-a-nginx-variable-http-authorization-jwt |
Select Language