前言:實(shí)際開發(fā)中朗涩，用戶上傳的圖片和文件否纬，我們需要對(duì)圖片做保護(hù)措施虱黄，為了不讓圖片直接暴露在外網(wǎng)無(wú)差別的訪問(wèn)蹬刷，圖片服務(wù)器鏈接進(jìn)行鑒權(quán)這個(gè)就顯得尤為重要了

本文主要講解seaweedfs文件服務(wù)器自身的jwt鑒權(quán)畴博，讀權(quán)限的限制

seaweedfs源碼文檔鏈接git地址

1.創(chuàng)建security.toml 文件笨忌，并設(shè)置對(duì)應(yīng)的驗(yàn)證證書

官網(wǎng)配置security.toml步驟
1.1:命令生成security.toml：weed scaffold -config=security

1.2:通過(guò)openssl生成CA證書，并生成客戶端證書和密鑰（此處我沒(méi)有用官網(wǎng)提供的https://github.com/square/certstrap的插件進(jìn)行生成俱病，原因是執(zhí)行命令go build時(shí)候一直報(bào)錯(cuò)官疲，提示timeout，找不到gopass插件
）

官網(wǎng)提供的生成證書的方法

//openssl生成CA頒發(fā)證書過(guò)程
//生成頒發(fā)機(jī)構(gòu)CA證書
1. genrsa -des3 -out SeaweedFSCA.key 1024
2. rsa -in SeaweedFSCA.key -out SeaweedFSCA.key
3. req -new -x509 -key SeaweedFSCA.key -out SeaweedFSCA.crt -days 365

4. 生成請(qǐng)求證書的密鑰
genrsa -des3 -out volume01.key  1024
genrsa -des3 -out master01.key  1024
genrsa -des3 -out filer01.key  1024
genrsa -des3 -out client01.key  1024

5. 免密碼輸入
rsa -in volume01.key -out volume01.key
rsa -in master01.key -out master01.key
rsa -in filer01.key -out filer01.key
rsa -in client01.key -out client01.key

6. 生成網(wǎng)站請(qǐng)求文件csr
req -new -key volume01.key -out volume01.csr
req -new -key master01.key -out master01.csr
req -new -key filer01.key -out filer01.csr
req -new -key client01.key -out client01.csr

7. 使用虛擬的CA認(rèn)證機(jī)構(gòu)的證書ca.crt亮隙，來(lái)對(duì)自己網(wǎng)站的證書請(qǐng)求文件server.csr進(jìn)行處理途凫，生成簽名后的證書server.crt    注意設(shè)置序列號(hào)和有效期（一般都設(shè)1年）
x509 -req -in volume01.csr -CA SeaweedFSCA.crt -CAkey SeaweedFSCA.key -set_serial 01 -out volume01.crt -days 365

x509 -req -in master01.csr -CA SeaweedFSCA.crt -CAkey SeaweedFSCA.key -set_serial 01 -out master01.crt -days 365

x509 -req -in filer01.csr -CA SeaweedFSCA.crt -CAkey SeaweedFSCA.key -set_serial 01 -out filer01.crt -days 365

x509 -req -in client01.csr -CA SeaweedFSCA.crt -CAkey SeaweedFSCA.key -set_serial 01 -out client01.crt -days 365

我把生成的證書和security.toml配置好得文件放到了百度云盤，供大家參考:
生成的CA證書文件和security.toml文件資源地址:https://pan.baidu.com/s/1Z50unVL2Z1cfloHgjkH6OQ 密碼:9qay

1.3:生成的security.toml文件放到跟weed同級(jí)目錄下即可咱揍，seaweedfs如何安裝請(qǐng)傳送門參考這篇文章

1.4:使用方法颖榜，獲取文件生成的token

JWT for Read Access Control 官方api方法

The volume server can also check JWT for reads. This mode does not work with weed filer. But this could be useful if the volume server is exposed to public and you do not want anyone to access it with a URL, e.g., paid content.
To enable it, set the jwt.signing.read.key in security.toml file.
To obtain a JWT for read, the JWT can be read from the response header Authorization of http://<master>:<port>/dir/lookup?fileId=xxxxx&read=yes.

請(qǐng)求示例response獲取文件id的請(qǐng)求頭Authorization

response獲取請(qǐng)求頭Authorization示例

讀文件請(qǐng)求頭中寫入請(qǐng)求頭Authorization示例

讀文件請(qǐng)求頭中寫入請(qǐng)求頭信息

讀文件請(qǐng)求頭中寫入請(qǐng)求頭Authorization信息失效或者請(qǐng)求頭中沒(méi)有Authorization信息的示例

讀文件請(qǐng)求頭中寫入請(qǐng)求頭Authorization信息失效或者請(qǐng)求頭中沒(méi)有Authorization信息的示例

1.5:至此文件讀權(quán)限校驗(yàn)加入成功
seaweedfs使用jwt自身token鑒權(quán)
優(yōu)點(diǎn)：
1.可以完全脫離項(xiàng)目業(yè)務(wù)邏輯，實(shí)現(xiàn)自身權(quán)限控制煤裙，自簽自驗(yàn)（自己簽發(fā)Authorization掩完，自己驗(yàn)證Authorization）
2.可以自己設(shè)置Authorization的有效期，實(shí)現(xiàn)階段性讀取權(quán)限限制
缺點(diǎn)：
1.圖片鏈接需要在請(qǐng)求頭中加入Authorization信息硼砰，h5中<img>標(biāo)簽無(wú)法直接在圖片鏈接中加入請(qǐng)求頭信息 且蓬。
2.每一個(gè)文件讀取都需要根據(jù)文件id申請(qǐng)一個(gè)Authorization信息，操作稍顯繁瑣

結(jié)語(yǔ)：讀權(quán)限的限制關(guān)鍵是security.toml文件中加入配置語(yǔ)句

 [jwt.signing.read]
 key = "blahblahblahblah"
 expires_after_seconds = 40           # seconds設(shè)置Authorization有效時(shí)間题翰，單位秒

security.toml文件配置

關(guān)于文件訪問(wèn)權(quán)限控制恶阴，另一種方案诈胜，可看linux 安裝openresty并使用lua腳本轉(zhuǎn)發(fā)鑒權(quán)控制文件訪問(wèn)權(quán)限文章