Django - 使用自定义login_required装饰器为Apache提供的保护媒体文件

当您提到apache的媒体路径时，这些文件将直接由Apache（或Nginx或任何其他Web服务器）提供。这些请求甚至不会通过您的Django应用程序。因此，您无法控制这些请求或它们提供的数据。

一种方法是创建单独的API来提供静态/媒体文件。在该API中，使用与其他内容相同的验证。

更妙的是，如果你有AWS (Amazon Web Services)或GCP (Google Cloud Platform)帐户，存放在S3或Cloud Storage静态文件分别通过您的API服务于他们的文件的URL。

PS：不要忘记从Apache配置中删除媒体路径。否则，Apache将继续提供这些文件。

或者，如Sarafeim's answer to Restricting access to private file downloads in Django中所述，其需要在服务器端和应用端都进行修改。您需要一种方法让HTTP服务器询问应用程序服务器是否可以将文件提供给请求的特定用户。您可以使用使用X-SendFile机制的django-sendfile来实现此目的。由于每Django的sendfile的自述：

这是围绕Web服务器的具体方法的包装将文档发送给Web客户端。当Django需要检查权限关联文件，但不想提供文件本身的实际字节时，这非常有用。即服务大文件不是Django的目的。

要了解更多关于sendfile的机制，请阅读：Django - Understanding X-Sendfile

好了，所以基于@MoinuddinQuadri答案和链接，它似乎是最简单的解决方法是使用常规的Django视图提供文件服务，并应用所需的装饰，就像这样：

@custom_decorator 
viewFile(request, objectID): 
    object = MyModel.object.get(id = objectID) 
    return HttpResponse(object.file, content_type = "image/png") 

（在我的情况，我想以服务模型相关的一个FileField字段，所以在视图中我通过对象的ID而不是文件名）。

另外，我在Apache的conf注释掉相应的代码：

### Alias /media /path/to/media 
### <Directory /path/to/media> 
###  Require all granted 
###</Directory 

我不得不改变一些模板使用新的视图，而不是媒体文件的URL，但现在它按预期工作，锁定未登录的用户。

但是，这不再使用Apache来提供文件，它使用Django本身，其中according to the docs，是不合适的，不建议。

理想情况下，您希望仍然使用Apache提供文件并仅使用该视图来保护其访问，并且您可以使用mod_xsendfile用于Apache，或者仅使用Django Sendfile，这是上述模块的包装。

我试过后者，但不幸it has problems with file names that have non-ascii characters。由于我的目标是使用西班牙语的用户，所以我不得不采取仅仅通过Django提供文件服务，至少现在是如此。