在 beego 框架中,若需对 `/static/` 下的私有文件(如 `/static/users/123/private/xxx.png`)实施访问控制,必须使用 `beego.beforestatic` 而非 `beego.beforerouter`,因为静态文件请求不经过常规路由匹配流程,而是在更早阶段由静态文件处理器直接处理。
Beego 对请求生命周期定义了多个过滤器插入点(filter execution points),其执行顺序和适用场景各不相同。关键在于:静态资源(如 /static/ 路径下的文件)默认由 Beego 内置的静态文件服务直接响应,绕过了 BeforeRouter 及之后的所有路由级过滤器。因此,即使你注册了 beego.InsertFilter("/static/.../*", beego.BeforeRouter, ...),该过滤器也永远不会被触发。
正确的做法是使用 beego.BeforeStatic —— 这是专为拦截静态资源请求设计的钩子,它在 Beego 判定请求是否为静态资源之前执行,是保护敏感静态路径(如用户私有目录)的唯一可靠入口。
✅ 正确的路由注册方式如下:
beego.InsertFilter("/static/users/:id([0-9]+)/private/*", beego.BeforeStatic, controllers.ProtectPrivateUploads)⚠️ 注意事项:
- 路由参数名保持一致(示例中用 :id 而非 :userId,避免潜在解析歧义;若坚持用 :userId,确保正则 [0-9]+ 匹配有效);
- BeforeStatic 过滤器中无法直接访问 ctx.Input.Param() 获取命名参数(如 :id),需手动从 ctx.Request.URL.Path 解析路径;
- Session 需显式初始化:调用 beego.GlobalSessions.SessionStart() 获取会话对象,并务必 defer sess.SessionRelease() 释放资源。
? 推荐的过滤器实现(含身份校验逻辑):
var ProtectPrivateUploads = func(ctx *context.Context) {
// 1. 提取 URL 中的用户 ID
path := ctx.Request.URL.Path
re := regexp.MustCompile(`/static/users/(\d+)/private/`)
matches := re.FindStringSubmatchIndex([]byte(path))
if len(matches) == 0 {
ctx.Abort(403, "Forbidden")
return
}
userIDStr := string(path[matches[0][2]:matches[0][3]])
userID, _ := strconv.ParseInt(userIDStr, 10, 64)
// 2. 获取当前登录用户 ID(假设存于 session)
sess, _ := beego.GlobalSessions.SessionStart(ctx.ResponseWriter, ctx.Request)
defer sess.SessionRelease(ctx.ResponseWriter)
sessionUserID := sess.Get("user_id") // 请根据实际登录逻辑调整 key 名
if sessionUserID == nil || int64(sessionUserID.(int)) != userID {
ctx.Abort(403, "Access denied")
return
}
}? 总结:保护 /static/ 子路径的核心原则是——静态资源 ≠ 路由资源。务必选用 BeforeStatic 过滤点,并自行解析路径参数与会话状态完成鉴权。忽略此差异是导致过滤器“静默失效”的最常见原因。
