Django - 了解 X-Sendfile

Question

我一直在使用 Django 进行一些有关具有访问控制的文件下载的研究。我的目标是完全阻止对文件的访问，除非由特定用户访问。我读过，在使用 Django 时，X-Sendfile 是实现此目的的首选方法之一（基于其他 SO 问题等）。我对在 Django 中使用 X-Sendfile 的初步理解是：

1. 用户请求 URI 来获取受保护的文件
2. Django 应用程序根据 URL 决定返回哪个文件，并检查用户权限等。
3. Django 应用程序返回带有“X-Sendfile”的 HTTP 响应' 标头设置为服务器的文件路径
4. Web 服务器找到该文件并将其返回给请求者（我假设 Web 服务器也沿途删除了 'X-Sendfile' 标头

）直接从 Django 文件，X-Sendfile 似乎可能是实现受保护下载的更有效方法（因为我可以依靠 Nginx 来提供文件，而不是 Django），但给我留下了 2 个问题：

1. 我对 X-Sendfile 的解释是最不抽象地正确吗？
2. 假设我不提供正常的前端 HTTP 访问（例如 http ://www.example.com/downloads/secret-file.jpg）到文件存储的目录（即，不要将其保存在我的 public_html 目录中）？或者，精通技术的用户可以检查标头等并逆向工程访问文件（然后分发）的方法吗？
3. 性能上真的差别很大吗？我是否会因为直接从 Django 提供 150Mb 文件的 8b 分块下载而使我的应用程序服务器陷入瘫痪，或者这不是问题？我问的原因是，如果两个版本几乎相同，那么 Django 版本会更好，因为我能够使用 Python 执行操作，例如记录已完成的下载数量、统计下载带宽等。

提前致谢。

Answer 1

1. 是的，这就是它的工作原理。
2. 确切的实现取决于网络服务器，但对于 nginx，建议将位置标记为内部以防止外部访问。
3. Nginx 可以异步提供文件，而使用 Django，每个请求需要一个线程，这对于大量并行请求可能会出现问题。

请记住为 nginx 发送 X-Accel-Redirect 标头而不是 X-Sendfile。
有关更多信息，请参阅 http://wiki.nginx.org/XSendfile。