利用Apache mod_rewrite实现文件下载链接重写与日志追踪

在许多web应用中，为了提供更好的用户体验，文件通常可以通过直接链接进行下载。然而，当我们需要对这些下载行为进行统计、权限验证或执行其他自定义逻辑时，直接链接下载会绕过后端处理脚本，导致相关功能失效。例如，当使用一个php下载追踪脚本（如github上的php-download-tracker）来记录文件下载信息时，如果用户通过https://exampledomain.com/files/file.pdf这样的直接url访问文件，而不是通过https://exampledomain.com/files/download.php?file=file.pdf这样的脚本入口，那么下载日志将无法生成。

为了解决这一问题，我们可以利用Apache的mod_rewrite模块在服务器层面进行URL重写。mod_rewrite允许我们根据特定的规则，将用户请求的URL转换为服务器内部处理的另一个URL，而用户在浏览器中看到的URL可能保持不变（取决于重写方式）。

解决方案：配置.htaccess进行URL重写

核心思路是：当用户请求downloadfolder/file.exe时，Apache服务器在内部将其重写为downloadfolder/download.php?file=file.exe，从而将请求引导至我们的PHP追踪脚本。这个重写过程对用户是透明的，用户仍然感觉是直接下载了文件。

以下是在目标文件目录（例如/files/）下的.htaccess文件配置示例：

# 启用RewriteEngine
RewriteEngine On

# 设置重写基准URL，这里假设download.php和被下载文件都在/files/目录下。
# 如果你的文件目录是/var/www/html/downloads/，那么RewriteBase应设置为/downloads/。
RewriteBase /files/

# 定义重写规则
# ^([^/]+)$ 匹配任何不包含斜杠的字符串，即当前目录下的一个文件名。
# download.php?file=$1 将匹配到的文件名作为file参数传递给download.php。
# [L] 表示这是最后一条规则，如果匹配成功则停止处理其他规则。
RewriteRule ^([^/]+)$ download.php?file=$1 [L]

代码解析：

• RewriteEngine On: 这一行是启用mod_rewrite模块的关键指令。如果未启用，后续的重写规则将不会生效。
• RewriteBase /files/: 这条指令定义了后续RewriteRule的相对路径基准。如果你的download.php脚本和要被下载的文件都位于Web根目录下的/files/子目录中，那么RewriteBase就应该设置为/files/。这意味着RewriteRule的模式将针对/files/目录下的路径部分进行匹配。例如，对于https://exampledomain.com/files/file.pdf的请求，RewriteRule的模式将匹配file.pdf。
• RewriteRule ^([^/]+)$ download.php?file=$1 [L]: 这是核心的重写规则。
  • ^([^/]+)$: 这是一个正则表达式模式。
    • ^: 匹配字符串的开始。
    • ([^/]+): 这是一个捕获组，匹配一个或多个（+）非斜杠字符（[^/]）。这意味着它会匹配当前目录下的任何文件名，例如file.pdf、document.zip等，但不包括子目录。被匹配到的内容会被捕获到$1变量中。
    • $: 匹配字符串的结束。
  • download.php?file=$1: 这是目标URL。它将请求重写到download.php脚本，并通过GET参数file将捕获到的文件名（即$1）传递过去。
  • [L]: 这是一个标志（Flag）。L代表“Last”，表示如果此规则匹配成功并执行了重写，Apache将停止处理后续的RewriteRule，并立即应用此规则。

注意事项

1. mod_rewrite模块启用： 确保你的Apache服务器已经启用了mod_rewrite模块。通常在httpd.conf或通过a2enmod rewrite命令启用。

2. AllowOverride All配置： 确保你的Apache配置文件中，对于包含.htaccess文件的目录，AllowOverride指令设置为All，或者至少包含FileInfo。否则，.htaccess文件中的重写规则将不会生效。

   

   阿里妈妈·创意中心

   阿里妈妈营销创意中心

   下载

   <Directory /var/www/html/files> # 替换为你的实际文件路径
       AllowOverride All
   </Directory>

3. .htaccess文件位置： .htaccess文件必须放置在需要应用重写规则的目录中，例如上述示例中的/files/目录。download.php脚本也应放置在该目录中。

4. PHP脚本处理： 你的download.php脚本需要能够接收file参数，并根据该参数找到对应的文件，执行日志记录，然后将文件内容发送给用户进行下载。以下是一个简化的示例：

   <?php
   if (isset($_GET['file'])) {
       $fileName = basename($_GET['file']); // 使用basename()防止路径遍历攻击
       $filePath = __DIR__ . '/' . $fileName; // 假设文件在download.php同目录
   
       if (file_exists($filePath)) {
           // 在此处添加你的日志记录逻辑，例如：
           // log_download($fileName, $_SERVER['REMOTE_ADDR'], time());
   
           // 发送文件头信息，强制浏览器下载
           header('Content-Description: File Transfer');
           header('Content-Type: application/octet-stream');
           header('Content-Disposition: attachment; filename="' . $fileName . '"');
           header('Expires: 0');
           header('Cache-Control: must-revalidate');
           header('Pragma: public');
           header('Content-Length: ' . filesize($filePath));
           readfile($filePath); // 输出文件内容
           exit;
       } else {
           // 文件不存在处理
           header("HTTP/1.0 404 Not Found");
           echo "文件未找到。";
           exit;
       }
   } else {
       // 未提供文件参数处理
       header("HTTP/1.0 400 Bad Request");
       echo "缺少文件参数。";
       exit;
   }
   ?>

5. 安全性： 在PHP脚本中处理文件名时，务必使用basename()等函数来防止路径遍历攻击，确保用户只能下载指定目录下的文件，而不是任意服务器文件。

总结

通过上述Apache mod_rewrite的配置，我们可以有效地拦截所有直接指向文件下载链接的请求，并将其透明地重定向到PHP下载追踪脚本。这不仅解决了直接下载绕过日志系统的问题，还为实现更复杂的下载管理逻辑（如权限验证、带宽限制等）提供了基础。正确配置.htaccess和download.php是确保这一机制顺利运行的关键。在部署前，务必在开发环境中进行充分测试。