在 beego 中,若需对 `/static/` 下的私有文件(如 `/static/users/123/private/xxx.png`)实施访问控制,必须使用 `beego.beforestatic` 而非 `beforerouter` 插入过滤器,因为静态文件请求绕过常规路由匹配,不会触发 `beforerouter` 阶段。
Beego 的请求生命周期中,静态文件(如 /static/、/public/ 目录下的资源)由独立的静态文件处理器直接响应,不经过 Router 匹配流程。因此,即使你为 /static/users/:userId([0-9]+)/private/* 注册了 beego.BeforeRouter 过滤器,该函数也永远不会被执行——因为该路径根本不会进入 BeforeRouter 阶段。
正确的解决方案是使用 beego.BeforeStatic 过滤点。这是 Beego 专为静态资源请求设计的钩子,在静态文件处理器执行前调用,且支持通配符路由匹配。你需要将过滤器注册改为:
beego.InsertFilter("/static/users/:id([0-9]+)/private/*", beego.BeforeStatic, controllers.ProtectPrivateUploads)注意:此处 :id 参数名需与后续代码中解析逻辑一致(推荐统一用 id 而非 userId,避免潜在歧义)。
在过滤函数中,可通过 ctx.Input.Param(":id") 获取 URL 中的用户 ID,并结合会话验证权限。由于 BeforeStatic 阶段仍可访问完整 HTTP 上下文,你可以安全地初始化 Session:
var ProtectPrivateUploads = func(ctx *context.Context) {
// 启动 session(需确保已在 main.go 中配置 beego.GlobalSessions)
sess, err := beego.GlobalSessions.SessionStart(ctx.ResponseWriter, ctx.Request)
if err != nil {
http.Error(ctx.ResponseWriter, "Session init failed", http.StatusInternalServerError)
return
}
defer sess.SessionRelease(ctx.ResponseWriter) // 必须释放,避免内存泄漏
// 获取当前登录用户 ID(示例:从 session 中读取 user_id)
userIDFromSession := sess.Get("user_id")
if userIDFromSession == nil {
http.Error(ctx.ResponseWriter, "Unauthorized", http.StatusUnauthorized)
return
}
// 解析 URL 中的目标用户 ID
targetUserID := ctx.Input.Param(":id")
if targetUserID == "" {
http.Error(ctx.ResponseWriter, "Invalid user ID", http.StatusBadRequest)
return
}
// 权限校验:仅允许当前登录用户访问其 own private 目录
if fmt.Sprintf("%v", userIDFromSession) != targetUserID {
http.Error(ctx.ResponseWriter, "Forbidden", http.StatusForbidden)
return
}
}⚠️ 关键前提与注意事项:
- 确保已在 main.go 中初始化全局 Session(例如:beego.GlobalSessions = session.NewManager("memory", ...)),否则 SessionStart 将失败;
- BeforeStatic 过滤器仅对实际存在于 StaticDir 配置目录下的文件生效(默认为 ./static),若路径不存在或被其他中间件拦截,可能跳过;
- 不建议在过滤器中执行耗时操作(如数据库查询),应尽量利用内存缓存或预加载的 session 数据;
- 路由正则 ([0-9]+) 保证了 :id 参数为纯数字,增强安全性,防止路径遍历攻击(但仍需服务端二次校验)。
通过 BeforeStatic + Session 校验的组合,即可精准、高效地保护用户私有静态资源,既符合 Beego 架构设计,又保障了访问安全。
