referer check update

HiCooper · HiCooper · commit 835232d30f53 · 2020-09-21T11:58:50.000+08:00
diff --git a/src/main/java/com/berry/oss/api/ObjectController.java b/src/main/java/com/berry/oss/api/ObjectController.java
@@ -169,7 +169,7 @@ public void getObject(
     }
 
     @PostMapping("create_folder.json")
-    @ApiOperation("新建目录，支持同事创建多级目录")
+    @ApiOperation("新建目录，支持同时创建多级目录")
     public Result createFolder(@Validated @RequestBody CreateFolderMo mo) {
         objectService.createFolder(mo.getBucket(), mo.getFolder());
         return ResultFactory.wrapper();
diff --git a/src/main/java/com/berry/oss/service/IObjectHashService.java b/src/main/java/com/berry/oss/service/IObjectHashService.java
@@ -22,7 +22,7 @@ public interface IObjectHashService {
 
     /**
      * 增加 哈希引用计算, 记录可能不存在，所以需要 fileId  size 进行创建时初始化
-     * 不能异步， 否则批量创建是，hash引用将会出错
+     * 不能异步， 否则批量创建时，hash引用将会出错
      *
      * @param hash   hash值
      * @param fileId fileId
diff --git a/src/main/java/com/berry/oss/service/impl/ObjectServiceImpl.java b/src/main/java/com/berry/oss/service/impl/ObjectServiceImpl.java
@@ -345,38 +345,57 @@ public void makeUpForLostData(String fileName, String filePath, MultipartFile fi
         dataService.makeUpForLostData(fileName, filePath, one.getFileId(), file, fileUrl, bucketInfo);
     }
 
+    /**
+     * 匿名访问，检查 referer
+     * Referer效果
+     * 1. 如果Referer白名单为空，则所有的请求都会被允许。
+     * 2. 如果Referer白名单不为空，且不允许Referer字段为空，则只有Referer属于白名单的请求被允许，其
+     * 他请求（包括Referer为空的请求）会被拒绝。
+     * 3. 如果Referer白名单不为空，但允许Referer字段为空，则Referer为空的请求和符合白名单的请求会被
+     * 允许，其他请求都会被拒绝。
+     * @param request request
+     * @param bucketInfo bucketInfo
+     */
     private void checkReferer(WebRequest request, BucketInfo bucketInfo) {
-        // 匿名访问，检查 referer
         String headReferer = request.getHeader("Referer");
         RefererInfo refererInfo = refererInfoDaoService.getOne(new QueryWrapper<RefererInfo>().eq(BUCKET_ID_COLUMN, bucketInfo.getId()));
-        if (refererInfo != null) {
-            // 是否 允许空 Referer（默认允许为空）
-            boolean allowEmptyPrimitive = refererInfo.getAllowEmpty();
-            // 1.允许为空
-            if (allowEmptyPrimitive) {
-                return;
-            }
-            String whiteList = refererInfo.getWhiteList();
-            // 同时设置了 ‘允许空 Referer’(非 null) 和 ‘白名单’ 两者方可生效
-            if (isNotBlank(whiteList)) {
-                // 2.不允许 空 referer，请求 头中 没有 referer，则deny
-                if (isBlank(headReferer)) {
-                    throw new XmlResponseException(new AccessDenied("referer deny"));
-                }
-                // 3. 白名单，pass
-                String[] whiteArr = whiteList.split(",");
-                boolean match = false;
-                for (String white : whiteArr) {
-                    if (headReferer.matches(white)) {
-                        match = true;
-                        break;
-                    }
-                }
-                if (!match) {
-                    throw new XmlResponseException(new AccessDenied("referer deny"));
-                }
+        // 未设置 防盗链：所有请求被允许
+        if (refererInfo == null) {
+            return;
+        }
+        // 设置了防盗链
+        boolean allowEmptyPrimitive = refererInfo.getAllowEmpty();
+        String whiteList = refererInfo.getWhiteList();
+
+        // 1. 如果Referer白名单为空，则所有的请求都会被允许。
+        if (isBlank(whiteList)) {
+            return;
+        }
+        // 2. 如果Referer白名单不为空，且不允许Referer字段为空，则只有Referer属于白名单的请求被允许，其他请求（包括Referer为空的请求）会被拒绝
+        // 3. 如果Referer白名单不为空，但允许Referer字段为空，则Referer为空的请求和符合白名单的请求会被允许，其他请求都会被拒绝。
+
+        // 不允许Referer字段为空, 实际为空
+        if (!allowEmptyPrimitive && isBlank(headReferer)) {
+            throw new XmlResponseException(new AccessDenied("referer deny"));
+        }
+
+        // 允许Referer字段为空， 实际为空
+        if (allowEmptyPrimitive && isBlank(headReferer)) {
+            return;
+        }
+
+        // 白名单，pass
+        String[] whiteArr = whiteList.split(",");
+        boolean match = false;
+        for (String white : whiteArr) {
+            if (headReferer.matches(white)) {
+                match = true;
+                break;
             }
         }
+        if (!match) {
+            throw new XmlResponseException(new AccessDenied("referer deny"));
+        }
     }
 
     @Override
diff --git a/src/main/resources/application-dev.yml b/src/main/resources/application-dev.yml
@@ -5,8 +5,8 @@ spring:
       password: berry123
   datasource:
     url: jdbc:mysql://127.0.0.1:3306/db_oss_service?characterEncoding=utf8&useSSL=false&useUnicode=true&allowPublicKeyRetrieval=true&serverTimezone=UTC
-    username: root
-    password:
+    username: user_atm
+    password: IeP6aLE517pmyEwZ
     driver-class-name: com.mysql.cj.jdbc.Driver
     type: com.alibaba.druid.pool.DruidDataSource
     platform: mysql

Original file line number	Diff line number	Diff line change
`@@ -169,7 +169,7 @@ public void getObject(`
`169`	`169`	`}`
`170`	`170`
`171`	`171`	`@PostMapping("create_folder.json")`
`172`		`- @ApiOperation("新建目录，支持同事创建多级目录")`
	`172`	`+ @ApiOperation("新建目录，支持同时创建多级目录")`
`173`	`173`	`public Result createFolder(@Validated @RequestBody CreateFolderMo mo) {`
`174`	`174`	`objectService.createFolder(mo.getBucket(), mo.getFolder());`
`175`	`175`	`return ResultFactory.wrapper();`
Original file line number	Diff line number	Diff line change
`@@ -22,7 +22,7 @@ public interface IObjectHashService {`
`22`	`22`
`23`	`23`	`/**`
`24`	`24`	`* 增加哈希引用计算, 记录可能不存在，所以需要 fileId size 进行创建时初始化`
`25`		`- * 不能异步，否则批量创建是，hash引用将会出错`
	`25`	`+ * 不能异步，否则批量创建时，hash引用将会出错`
`26`	`26`	`*`
`27`	`27`	`* @param hash hash值`
`28`	`28`	`* @param fileId fileId`