[摘要]■ 华腾公司EC部 吴德柱 问题的提出 互联网的发展为我们的生活带来了巨大变化,越来越多的人乐意享受网上便捷的服务,诸如网上购物、网上订票等。其中突出的一类服务是信息内容下载服务,包括音乐、参考资料...
■ 华腾公司EC部 吴德柱
问题的提出
互联网的发展为我们的生活带来了巨大变化,越来越多的人乐意享受网上便捷的服务,诸如网上购物、网上订票等。其中突出的一类服务是信息内容下载服务,包括音乐、参考资料、试用软件的下载等。通常,信息内容下载服务有以下要求:
● 能够下载的用户必须有访问信息内容的权限;
● 每一项信息内容要有独立的下载权限控制,能下载某一项信息的用户,不一定能够下载另一项信息;
● 从用户的角度来说,下载时文件名应该保持为下载信息内容的实际名称。
实际上,若采用通常的开发方法,上述三点较难同时满足:通过脚本(如ASP)进行权限控制,可能会使下载文件名变成了脚本名;若想保留下载文件名,可能权限无法控制。本文将从HTTP协议、Web服务器出发,结合目前比较流行的Web开发方法(Java、ASP)来说明如何实现上述要求。
问题的解决
有多种方法可以解决这个问题,下面介绍其中的两种:
第一种方法 直接虚拟路径法
直接虚拟路径法是指在下载URL中直接给出文件名,并在文件名前设置虚拟路径名(必须保证通过该路径是访问不到文件的)。这样,浏览器显示的下载名是原文件名,而非法用户因路径不存在,无法得到文件。
这种方法主要利用Web服务器的映射(MAP)功能,实现思路是:
● 由Web服务器接收用户的下载URL请求,将虚拟路径映射(MAP)为相应的服务器程序调用(该程序要独立开发);
● 服务器程序验证用户的权限,若非法则拒绝服务;
● 服务器程序从HTTP的响应变量HTTP_
PATH_INFO中得到文件名,并通过事先的配置取得实际路径名;
● 服务器程序将文件内容用流的方式读出,供合法用户下载。
不同的Web服务器对编写的服务器程序也是不一样的。IIS中可以用过滤器(Filter)实现,而Java服务器则可以使用Servlet。下面是用Servlet(Download)实现的例子:
public void doGet(HttpServletRequest request,
HttpServletResponse response)
throws ServletException,IOException
{
String dir_info=“c:/temp”;
try
{
HttpSession session = request. getSession(false);
if (session==null)
//作为示例,简单权限判别
{
response.getWriter().println(“有以
下错误:[1000]没有权限”);
return;
}
String path_info=request. getPathInfo(); //不同的服务器可能处理不同
if (path_info==null path_info. trim(). length()==0)
{
response.getWriter().println(“有以
下错误:[2000]未提供文件名”);
return;
}
String full_path = dir_info + path_info;
FileInputStream in = new FileInputStream(full_path);
response.setContentType(“bin”);
ServletOutputStream out = response.getOutputStream();
int b;
while ((b=in.read())!=-1)
{
out.write(b);
}
in.close();
}
catch(Exception e)
{
return;
}
}
可通过Http://localhost/servlet/Download/test. zip来下载c:\temp\test. zip文档。
第二种方法 间接路径法
间接路径法是指下载URL中不出现待下载文件名,下载URL主要用于实现权限控制,而在参数中提供文件名。这时,浏览器显示的下载名将不是实际下载文件名,而是用于权限控制的服务器程序的名称,必须将其名称改为原文件名。
这种方法主要利用HTTP头部响应协议(Http Header)来实现,其思路是:
1. 权限控制URL服务器程序验证用户的权限,若非法则拒绝服务。
2. 服务器程序从HTTP的参数变量中得到文件名,并通过事先的配置取得实际路径名。
3. 服务器程序利用HTTP响应头Content-disposition(详细说明可以参见rfc2183),设置下载文件名,如下所示:
Content-disposition: attachment; filename=下载文件名
4. 服务器程序将文件内容用流的方式读出,供合法用户下载。
这里的服务器程序可以是CGI、Servlet、JSP、ISAPI、ASP等。下面是用ASP实现的例子:
<%
Response.buffer = TRUE
dim strDir,strFullPath,strName
Dim vntStream
strDir=“c:\temp\”
if Session(“Download”)=“” then
’作为示例,简单权限判别
Response.write(“有以下错误:[1000]没
有权限”)
Response.end
end if
if Request(“filename”)=“” then
Response.write(“有以下错误:[2000]未
提供文件名”)
Response.end
end if
strName = Request(“filename”) strFullPath = strDir + strName Response.ContentType =“BIN”
’设置下载文件名
Response.addHeader“Content-disposition”, “attachment; filename=”& strName
Set oMyObject = Server.CreateObject(“MyObject. BinRead”)
’可自行开发的二进制读取对象
vntStream = oMyObject. readBinFile(strFullPath)
Response.BinaryWrite(vntStream)
Set oMyObject = Nothing Response.End
%>
可通过Http://localhost/Download.asp?filename=test.zip来下载c:\temp\test.zip文档。
此外,还可以利用操作系统中的功能来实现,但与系统关系太密切,不适于移植,除非该服务器是专门用来下载的,就不在此说明了。
关键词:下载信息内容时文件名称的指定