Ich habe einen kleinen Hack, der meiner Meinung nach sichere Uploads für loginpflichtige Seiten ermöglichen würde.
Grundsätzlich richten Sie Authentication Based on Subrequest Result | NGINX Documentation für Uploads ein. Das einzige Problem ist, dass ich keine URL finde, die bei aktiviertem Login-Erfordernis einen 403/401-Statuscode zurückgibt. Wenn also jemand versucht, einen Upload aufzurufen, ohne eingeloggt zu sein, erhält dieser einen 500-Fehler. Dies würde nur passieren, wenn jemand eine Upload-URL hätte und versucht, sie aufzurufen, ohne angemeldet zu sein, was also nicht allzu schlimm erscheint.
Es sieht ungefähr so aus:
# JP
location = /auth {
internal;
proxy_pass http://discourse/categories;
proxy_pass_request_body off;
proxy_set_header Content-Length "";
proxy_set_header X-Original-URI $request_uri;
}
# END JP
location ~ ^/uploads/ {
auth_request /auth; #$JP
# HINWEIS: Es ist wirklich nervig, dass wir Header nicht einfach auf der obersten Ebene definieren
# und sie dann erben können.
#