Nginx、Gunicorn 和 Django 的静态文件权限

tag-icon tag-icon nginx django gunicorn static-files
Nginx、Gunicorn 和 Django 的静态文件权限

我尝试设置一个 Nginx 服务器,并在后面运行 Django 的 Gunicorn WSGI 服务器。

安装程序似乎全部运行,但我有一个权限问题。我已将别名设置为 /media 和 /static 目录以提供静态内容,但是除非文件归 nginx 用户所有,否则会生成 403 错误。

Gunicorn 用户上传的文件显然将归该特定用户所有,这将导致问题。我可以将 nginx 用户添加到 gunicorn 用户组,但我不想授予 nginx 对这些文件的全面权限。

建议通过 Gunicorn/Wsgi/Django 上传或生成文件的方法是什么,但允许 nginx 为它们提供服务而不增加安全问题。

提前致谢,

答案1

不需要对这些文件进行全面权限管理。Nginx 只需要读取权限。我的 nginx 用户帐户是www-data,gunicorn 以www_flask特权运行。Nginx 可以毫无问题地提供从 flask 上传的所有文件。

文件权限ls -lRr /webroot

/webroot:
total 4
drwxr-xr-x 3 www_flask www_flask 4096 Jul  4 13:20 gunicorn

/webroot/gunicorn:
total 4
drwxr-xr-x 2 www_flask www_flask 4096 Jul  4 14:57 uploads

/webroot/gunicorn/uploads:
total 924
-rw-rw-r-- 1 www_flask www_flask 164308 Jul  4 14:55 0001.jpg
-rw-rw-r-- 1 www_flask www_flask  53917 Jul  4 14:56 0004.jpg
-rw-rw-r-- 1 www_flask www_flask 349420 Jul  4 15:07 0005.jpg
-rw-rw-r-- 1 www_flask www_flask 365642 Jul  4 14:56 0006.jpg

nginx 配置

server {
    listen 127.0.0.1:80;
    server_name localhost;

    location / { 
        try_files $uri @gunicorn_proxy; 
    }   

    location /media {
        alias /webroot/gunicorn/uploads/;
    }   

    location @gunicorn_proxy {
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header Host $http_host;
        proxy_redirect off;
        proxy_pass http://127.0.0.1:8000;
    }   
}

来自教程的 Flask 上传示例/home/www_flask/evironments/flask/myapp/myapp.py

import os
from flask import Flask, request, redirect, url_for
from werkzeug import secure_filename

UPLOAD_FOLDER = '/webroot/gunicorn/uploads'

ALLOWED_EXTENSIONS = set(['txt', 'pdf', 'png', 'jpg', 'jpeg', 'gif'])

app = Flask(__name__)
app.config['UPLOAD_FOLDER'] = UPLOAD_FOLDER


def allowed_file(filename):
    return '.' in filename and filename.rsplit('.', 1)[1] in ALLOWED_EXTENSIONS

def uploaded_file(filename):
    return send_from_directory(app.config['UPLOAD_FOLDER'],
                               filename)

@app.route('/', methods=['GET', 'POST'])
def upload_file():
    if request.method == 'POST':
        file = request.files['file']
        if file and allowed_file(file.filename):
            filename = secure_filename(file.filename)
            file.save(os.path.join(app.config['UPLOAD_FOLDER'], filename))
            return redirect('media/' + filename)
    return '''
    <!doctype html>
    <title>Upload new File</title>
    <h1>Upload new File</h1>
    <form action="" method=post enctype=multipart/form-data>
      <p><input type=file name=file>
         <input type=submit value=Upload>
    </form>
    '''

if __name__ == '__main__':
    app.run(debug=True)

答案2

听起来您的目录或文件未设置读取权限others。您可以并且应该以非特权用户身份运行您的应用程序。您只需要向其他人授予读取权限:

chmod o+r -R /path/to/your/application

相关内容