上传文件并请求受保护的下载 node.js

Question

我有一个使用 node.js、express 和 multer 上传文件的系统，文件存储在静态目录中。我想要的是将它们存储在服务器上，并且只有在我登录后才能看到它们。

问题：

我的上传系统很好，但我需要保护目录 /files/documents/hv.pdf 中的文件，因为每当我输入打开文件的 url 时，浏览器都会保存历史记录，这是不应该发生的事情，如果用户没有登录，如何避免访问？

我正在尝试使用一个中间件，如果 url 的字符串带有 /files 文件夹的名称，它会运行，有趣的是，如果我不输入文件名或输入另一个名称，如 /files/document/test.txt 它可以工作但不是当我访问静态文件夹中的链接时，我以为是缓存但绝对不是那个

这个中间件

module.exports = (req,res,next)=>{
    let regex = /^\/files\/.*$/;
    if (!regex.test(req.url)) { return next(); }

    // for test
    req.session.user = {name:"thaylor"}; //comment for not session
    //fin for test

    if(req.session.user){
        next();
    }else{
        res.end('You are not allowed!');
    }
}

更新，这个解决方案 2018-04-2017

获取根路径和受保护路由 app.js 的中间件

const protectedfile = require("./controllers/protectedfile");

app.use(function(req, res, next) {
    req.rootPath = __dirname;
    next();
});

app.use('/files', protectedfile);
app.use('/files', express.static(path.join(__dirname, 'files')) );

这个文件控制器/protectedfile.js

const path = require('path'); 
module.exports = (req,res,next)=>{
    if(!req.session.user){
        res.send("Route protected");
    }else{          
        let file = path.join(req.rootPath, req.originalUrl);  
        res.download(file, function (err) {
            if (err) {
                console.log("Error");
                console.log(err);
            } else {
                console.log("success"); 
            }        
        });       
    }
}

谢谢大家

Answer 1

var express = require("express");
var path = require( "path" );
var app = express();

app.use( '/upload', isLoggedIn, express.static( path.join( __dirname, '**your upload folder name**' ) ) );

app.listen( 3000 );

//Use this code if you are using passport.js for authentication mech.
function isLoggedIn(req, res, next) {
    if (req.user) {
        next();
    } else {
        res.redirect('/login');
    }
}

//Use this code for custom sign in implementation
function isLoggedIn(req, res, next) {
    //check if user is logged in
    // your business logic goes here
    if ( condition ) {
        next();
    } else {
        res.redirect('/login');
    }
}

每次调用 localhost:3000/upload/* 都会通过 isLoggedIn 函数执行此操作。

Answer 2

在我深入细节之前，需要记住的一点是，Express.js 框架中的所有内容都被视为一个中间件。所以你的代码顺序很重要（即你的app.use 是如何按顺序连接的）。每次客户端访问您的应用程序时，都会从您的 app.js 文件的顶部开始，直到可以返回某些内容。

首先，静态路由意味着通过该给定路径（文件夹）传递的内容是静态的。通常，在app.js 文件的头文件中，有：

app.use(express.static('./public', options));

在上面的代码中，文件夹“public”设置为静态。也就是说，放入此文件夹的任何内容（包括放入其子文件夹的文档）对公众完全透明，因此您无需指定放入此文件夹的内容。当客户端尝试向您的服务器发出 HTTP 请求时，Express 将扫描文件夹并在找到请求的文件后返回文档；如果没有，那么它会通过你的下一个app.use。

您可以分配多个静态路由。例如，如果您现在在上述代码之后附加以下代码：

app.use(express.static('./file', options));

您的服务器现在将扫描以“文件”命名的文件夹之后在“./public”路径中找不到任何内容，并尝试找出请求的文档。基本上，做和上面一样的事情。

你可以通过替换上面的代码来玩这个技巧：

app.use('/file', checkIfTheUserHaveLogIn);
app.use('/file', express.static('./file', options));

或一行：

app.use('/file', checkIfTheUserHaveLogIn, express.static('./file', options));

在这里，我使用'/file' 作为app.use 中的第一个参数来指定URL 中必须匹配的特殊路径。注意，checkIfTheUserHaveLogIn 是一个中间件函数，它作为控制器（函数）来决定是否允许客户端访问下一级中间件（通过调用next()），即express.static('./file', options)。如果客户端没有被授予该权限，您可以将客户端重定向到登录页面或在checkIfTheUserHaveLogIn 中执行其他操作。

在您的代码中，您设置了一个路由器来屏蔽“/file”路由路径以执行您的身份验证。但是，因为中间件的顺序很重要。其实就是先触发静态路由器，然后就可以找到文件了，这样文件就已经返回给请求的客户端了。您的中间件实际上从未被访问过。为了避免这种情况，只需按照我之前的做法，设置另一个静态路由并指向另一个文件夹（不能是第一个透明静态路由器下的子文件夹，即不在我的示例中的 ./public 下）。那么它应该可以完美运行。

希望我的解释能澄清你的问题。