ComputerBase Menü
Aktuelles

Dateien auf dem Webserver mit Django nur bestimmten Usern zugänglich machen

Falc410

Falc410

Vice Admiral
Registriert
Juni 2006
Beiträge
6.419
Ich frage mich gerade, wie das funktioniert, dass nur eingeloggte Nutzer z.B. Dateien herunterladen dürfen - und zwar ohne PHP oder Plugins.

Hintergrund ist: Wir hosten eine Webseite mit Django (Python), die über WSGI mit einem Apache Server kommuniziert. Statische Files, z.B. MP3 / MP4 liegen im wwwroot und werden vom Apache ausgeliefert. Ich kann zwar in Django / Python abfragen ob User X berechtigt ist, aber im Prinzip kann jeder User mit dem direkten Link auf die Dateien zugreifen. Ich kann also nicht verhindern, dass User X den Link teilt und sich jemand anderes dann die Dateien herunterlädt. Der Apache kennt ja keine User.

Hatte schon überlegt ob ich den Link hinter Javascript verstecke, aber die Dateien sollen im Browser abgespielt / angezeigt werden. Wir benutzen dafür einfach das HTML5 Audio bzw. Video Tag - funktioniert gut. Aber jeder kann im Seitenquelltext dann natürlich den Link sehen - der zeigt ja auf die Datei die geladen worden ist. Nur den Download können wir nicht unterbinden.

Wie schaffen das andere Webseiten? Ich könnte natürlich ein Plugin benutzen, aber wir wollen explizit keine Plugins voraussetzen. Im Prinzip bräuchte ich eine Art Proxy der dann die eigentliche Datei lädt - aber solange diese irgendwie vom Apache ausgeliefert wird, kann man diese auch immer herunterladen. Trotzdem gibts das ja bei fast jeder Webseite, dass man selbst mit einem Link keine Berechtigung hat auf die Datei zuzugreifen wenn man nicht die richtigen Privilegien hat. Wie lösen die das?
 
In dem es nicht der Webserver direkt ausliefert, sondern die Haupt-Applikation oder ein externer Service wie S3 (mit einem authorisiertem Link), der das kann.
 
Falc410 schrieb:
aber im Prinzip kann jeder User mit dem direkten Link auf die Dateien zugreifen. Ich kann also nicht verhindern, dass User X den Link teilt und sich jemand anderes dann die Dateien herunterlädt. Der Apache kennt ja keine User.
Zum Vergrößern anklicken....
Kann man ihm aber beibringen... wobei es besser ist den direkten Download für alle im Apache zu sperren und das dann über Python abzuwickeln. Dann hat man nur eine Userverwaltung.
 
Django sagt halt explizit in der Doku, dass man keine Static Files damit serven soll - das soll der Webserver machen. Wahrscheinlich aus Performancegründen.

@zoz Das hatte ich auch schon mal gefunden aber noch nicht eingesetzt weil ich auf anderen Seiten gelesen habe, dass xsendfile nicht mehr funktioniert mit modernen Browsern.
 
Es sind halt aber keine wirklichen static files. Die URL gibt unterschiedliche Antworten, je nachdem ob angemeldet oder nicht.
 
Jo, ist ne Performance-Sache wenn das über Python läuft. Aber anders kriegt man die Userverwaltung nicht hin (zumindest wüst ich keinen Sinnvollen Weg wie man die Apache Userverwaltung für die .htaccess mit einem Framework wie Django verbinden könnte)
 
Falc410 schrieb:
@zoz Das hatte ich auch schon mal gefunden aber noch nicht eingesetzt weil ich auf anderen Seiten gelesen habe, dass xsendfile nicht mehr funktioniert mit modernen Browsern.
Zum Vergrößern anklicken....

Das von mir verlinkte Package hat nichts mit dem Browser zu tun, der Browser bekommt davon gar nichts mit das der Request nach der Authentifizierung wieder an Nginx übergeben wird.
 
  • Gefällt mir
Reaktionen: Falc410
zoz schrieb:
Das von mir verlinkte Package hat nichts mit dem Browser zu tun, der Browser bekommt davon gar nichts mit das der Request nach der Authentifizierung wieder an Nginx übergeben wird.
Zum Vergrößern anklicken....


Ok ich glaube jetzt habe ich verstanden wie es funktioniert mit mod_wsgi und mod_rewrite.

Durch mod_wsgi und dem Django sendfile Plugin, erzeuge ich einen internal request auf ein File welches von Apache bereitgestellt wird. Durch mod_rewrite kann ich prüfen ob jemand von extern versucht hat auf die URL zuzugreifen und das wird dann verhindert, wenn es ein interner Request war, dann wird es durchgelassen und dann kann Apache das file serven.

Dann brauche ich auch mod_xsendfile nicht - das hatte ich nämlich mal gefunden aber ist wohl veraltet, daher wollte ich es nicht nutzen.

Danke - ich werde das mal ausprobieren. Aber so dürfte es funktionieren.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Maxminator
Synology DS920+ Upload bei freigegebenen Dateien nur ca. 2MB/s bei 500MBit GF?!
2 3 4
Antworten
74
Aufrufe
7.077
Schuhmi86
S
Haldi
  • Artikel
Leserartikel OpenWRT mit dem BananPi BPI-R3
2 3
Antworten
42
Aufrufe
10.747
trashit
T
M
Leserartikel Deinterlacing mit QTGMC
2
Antworten
25
Aufrufe
22.726
latiose88
L
Baal Netbeck
Leserartikel Baal auf der Suche nach den Energiefressern im PC
3 4 5
Antworten
98
Aufrufe
15.927
Baal Netbeck
Baal Netbeck
scooter010
Leserartikel Installation von Arch Linux mit ZFS-root auf x86 QNAP von 2010
Antworten
4
Aufrufe
1.662
scooter010
scooter010
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz