这是一个创建于 700 天前的主题,其中的信息可能已经有所发展或是发生改变。
就是某个路径下的资源要判断 jwt 字段subscribed为 1 且 jwt 没过期才能访问,否则返回 403
本来打算用 worker intercept 试试,后来看了下还是直接把 jwt 塞进 cookies 方便,只能用来获取资源的 jwt 不防跨站也没什么安全隐患
静态资源在独立的服务器上
自己写一个的话缓存不好实现,访问量不小,预算给的又少
(现在的做法是登录会员账号后往 cookies 里写固定 key ,nginx 直接两个 if 判断密码对不对,太不安全了,所有用户共用相同 key 很容易有人分享出去)
7 条回复 • 2022-12-19 10:52:27 +08:00
 |
1
malusama 2022-12-17 02:16:25 +08:00
啥意思. 你们瓶颈都在解析 jwt 上面了?
|
 |
3
xuanbg 2022-12-17 07:08:14 +08:00
这个独立服务器能用 nfs 挂载到本地么?
|
 |
4
netnr 2022-12-17 08:13:05 +08:00 via Android
那改成 auth basic ,可以配置多个账号密码,自带模块支持
|
 |
5
tree2525 2022-12-17 10:49:53 +08:00
用 Go 语言写过一个 JWT 鉴权的文件下载;但不算高性能
|
 |
7
Envov 2022-12-19 10:52:27 +08:00
nginx 支持 lua 脚本或者 js 脚本,实现这个功能非常简单
https://github.com/nginx/njs-examples#getting-arbitrary-field-from-jwt-as-a-nginx-variable-http-authorization-jwt |
Select Language