如何在 Laravel 5 中保护图像不被公众看到？

Question

我已经安装了 Laravel 5.0 并进行了身份验证。一切正常。

我的网站只对经过身份验证的会员开放。里面的内容只对经过身份验证的成员提供保护，但网站内部的图像不受保护以供公众查看。

任何人直接写入图片URL都可以看到图片，即使该人没有登录系统。

http://www.somedomainname.net/images/users/userImage.jpg

我的问题：是否可以保护图像（上面的 URL 示例）不被公众看到，换句话说，如果图像的 URL 发送给任何人，个人必须是会员并登录能够看到图像。

这可能吗？如何实现？

Answer 1

如果我理解你，就像！

 Route::post('/download/{id}', function(Request $request , $id){
  {

     if(\Auth::user()->id == $id) {
         return \Storage::download($request->f);
     } 
     else {
         \Session::flash('error' , 'Access  deny');
         return back();
     }
  }

 })->name('download')->middleware('auth:owner,admin,web');

Answer 2

可以在 Laravel 5.x 文件夹中保护图像免受公共视图的影响。

• 在 Laravel 中的 storage 文件夹下创建 images 文件夹（我选择了 storage 文件夹，因为它已经具有写入权限，当我将图像上传到它时可以使用它）喜欢storage/app/images。

• 将要保护的图像从公用文件夹移动到新创建的images 文件夹。您也可以选择其他位置来创建 images 文件夹，但不在公用文件夹内，而是在 Laravel 文件夹结构中，但仍然是不在控制器文件夹内的逻辑位置示例。接下来你需要创建一个路由和图像控制器。

创建路线

Route::get('images/users/{user_id}/{slug}', [
     'as'         => 'images.show',
     'uses'       => 'ImagesController@show',
     'middleware' => 'auth',
]);

如果人未登录，该路由会将所有图像请求访问转发到身份验证页面。

创建图像控制器

class ImagesController extends Controller {

    public function show($user_id, $slug)
    {
        $storagePath = storage_path('app/images/users/' . $user_id . '/' . $slug);
        return Image::make($storagePath)->response();
    }
}

---

编辑（注意）

适用于使用 Laravel 5.2 及更新版本的用户。 Laravel 为 serve files 引入了新的更好的方法，它的开销更少（这种方法不会像答案中提到的那样重新生成文件）：

文件回复

file 方法可用于显示文件，例如图像或 PDF，直接在用户的浏览器中，而不是启动下载。 这个方法接受文件的路径作为它的第一个参数和一个 标头数组作为其第二个参数：

return response()->file($pathToFile);

return response()->file($pathToFile, $headers);

---

您可以根据需要修改存储路径和文件/文件夹结构，这只是为了演示我是如何做到的以及它是如何工作的。

您还可以添加条件以仅显示控制器中特定成员的图像。

另外还可以用文件名、时间戳等变量对文件名进行哈希处理。

---

补充： 有人问此方法是否可以用作公用文件夹上传的替代方法，可以，但不建议这样做，如answer 中所述。因此，即使您不打算保护它们，也可以使用相同的方法上传存储路径中的图像，只需按照相同的过程删除'middleware' => 'auth',。这样您就不会在公用文件夹中授予 777 权限，并且仍然拥有安全的上传环境。同样提到的answer 还解释了如何在没有身份验证的情况下使用这种方法，以防有人会使用它或提供替代解决方案。

Answer 3

在之前的项目中，我通过执行以下操作来保护上传：

创建存储磁盘：

config/filesystems.php
'myDisk' => [
        'driver' => 'local',
        'root' => storage_path('app/uploads'),
        'url' => env('APP_URL') . '/storage',
        'visibility' => 'private',
    ],

这会将文件上传到\storage\app\uploads\，public 无法查看。

在控制器上保存文件：

Storage::disk('myDisk')->put('/ANY FOLDER NAME/' . $file, $data);

为了让用户查看文件并保护上传内容不被未经授权访问。首先检查磁盘上是否存在文件：

public function returnFile($file)
{
    //This method will look for the file and get it from drive
    $path = storage_path('app/uploads/ANY FOLDER NAME/' . $file);
    try {
        $file = File::get($path);
        $type = File::mimeType($path);
        $response = Response::make($file, 200);
        $response->header("Content-Type", $type);
        return $response;
    } catch (FileNotFoundException $exception) {
        abort(404);
    }
}

服务如果用户有正确的访问权限：

 public function licenceFileShow($file)
{
    /**
     *Make sure the @param $file has a dot
     * Then check if the user has Admin Role. If true serve else
     */
    if (strpos($file, '.') !== false) {
        if (Auth::user()->hasAnyRole(['Admin'])) {
            /** Serve the file for the Admin*/
            return $this->returnFile($file);
        } else {
            /**Logic to check if the request is from file owner**/
            return $this->returnFile($file);
        }
    } else {
//Invalid file name given
        return redirect()->route('home');
    }
}

终于在 Web.php 路线上：

Route::get('uploads/user-files/{filename}', 'MiscController@licenceFileShow');

Answer 4

我实际上并没有尝试过，但我发现 Nginx auth_request 模块允许您检查来自 Laravel 的身份验证，但仍然使用 Nginx 发送文件。

它向给定的 url 发送一个内部请求，并检查 http 代码是否成功（2xx）或失败（4xx），成功后，让用户下载文件。

编辑：另一个选项是我尝试过的，它似乎工作正常。您可以使用 X-Accel-Redirect -header 从 Nginx 提供文件。请求通过 PHP，但不是通过发送整个文件，它只是将文件位置发送到 Nginx，然后将其提供给客户端。