在 beego 框架中,若需对 `/static/users/{id}/private/` 下的私有静态文件实施访问控制,必须使用 `beego.beforestatic` 而非 `beforerouter` 插入过滤器,因为静态文件请求绕过路由匹配阶段,直接由静态文件处理器处理。
Beego 对静态资源(如 /static/ 下的文件)的处理具有特殊性:当请求命中 beego.StaticDir 配置的静态目录时,框架会跳过常规的路由解析与控制器执行流程,直接交由内置静态文件中间件响应。这意味着在 beego.BeforeRouter 或 beego.BeforeExec 等常规生命周期钩子中注册的过滤器不会被触发——即使路由模式语法正确,也无法拦截此类请求。
✅ 正确做法是使用 beego.BeforeStatic 过滤点。该位置专为静态资源请求设计,在静态文件处理器执行前调用,是实现权限校验的唯一可靠入口。
以下为完整实践示例:
1. 路由过滤器注册(推荐放在 routers/router.go 的 init() 函数中):
beego.InsertFilter(
"/static/users/:id([0-9]+)/private/*",
beego.BeforeStatic,
controllers.ProtectPrivateUploads,
)注意:路径中的参数名建议统一为 :id(而非 :userId),以避免潜在的解析歧义;正则 ([0-9]+) 确保仅匹配数字型用户 ID。
2. 过滤器逻辑实现(含会话与权限校验):
var ProtectPrivateUploads = func(ctx *context.Context) {
// 启动全局 Session
sess, err := beego.GlobalSessions.SessionStart(ctx.ResponseWriter, ctx.Request)
if err != nil {
http.Error(ctx.ResponseWriter, "Session init failed", http.StatusInternalServerError)
return
}
defer sess.SessionRelease(ctx.ResponseWriter)
// 获取当前登录用户 ID(假设存于 session 中的 "user_id" 键)
userIDFromSession := sess.Get("user_id")
if userIDFromSession == nil {
http.Error(ctx.ResponseWriter, "Unauthorized", http.StatusUnauthorized)
return
}
// 从 URL 路径提取目标用户 ID(Beego 自动解析 :id 并注入 ctx.Input.Param)
targetUserIDStr := ctx.Input.Param(":id")
if targetUserIDStr == "" {
http.Error(ctx.ResponseWriter, "Invalid user path", http.StatusBadRequest)
return
}
// 校验权限:仅允许当前用户访问其 own private 目录
currentUserID, ok := userIDFromSession.(int)
if !ok {
http.Error(ctx.ResponseWriter, "Invalid session user ID", http.StatusForbidden)
return
}
targetUserID, err := strconv.Atoi(targetUserIDStr)
if err != nil || currentUserID != targetUserID {
http.Error(ctx.ResponseWriter, "Access denied", http.StatusForbidden)
return
}
}⚠️ 关键注意事项:
- beego.BeforeStatic 是唯一有效的静态资源过滤时机,BeforeRouter 在此场景下完全失效;
- ctx.Input.Param() 在 BeforeStatic 阶段可用,Beego 已完成路径参数解析(基于注册的 filter pattern);
- 务必调用 sess.SessionRelease() 释放会话,避免资源泄漏;
- 静态文件路径需严格匹配注册的 pattern(如 /static/users/123/private/logo.png 匹配 /static/users/:id([0-9]+)/private/*);
- 若项目启用了自定义静态路由(如 beego.SetStaticPath("/static", "static")),确保其未覆盖或冲突。
通过以上配置,即可安全、精准地实现用户私有静态资源的细粒度访问控制,兼顾 Beego 框架机制与实际业务权限需求。
