S.Gromov
bcadb85a83
- добавлены backend, admin, gateway и worker skeleton - добавлены Drizzle schema, database package и initial migration - добавлены shared packages для RabbitMQ topology и S3 helpers - обновлены dev-инфраструктура, env example, scripts и dependencies - обновлена документация под versioned image URLs и read-through flow
1.7 KiB
1.7 KiB
Контракт с imgproxy
imgproxy всегда внешний сервис для image-platform.
Env
IMGPROXY_UPSTREAM=http://external-imgproxy.internal:8080
IMGPROXY_SIGNING_ENABLED=false
IMGPROXY_KEY=
IMGPROXY_SALT=
Dev режим
В dev можно использовать unsigned /unsafe URL, если внешний imgproxy запущен без key/salt.
Пример path:
/unsafe/resize:fit:800:0:0/q:80/plain/https://example.com/photo.jpg
Prod режим
В prod нужно перейти на signed URLs и закрыть /unsafe.
Path для подписи строится без /unsafe:
/resize:fit:800:0:0/q:80/plain/https://example.com/photo.jpg
Signature:
HMAC-SHA256(binary_key, binary_salt + path_bytes)
base64url without padding
Node implementation reference:
import crypto from "node:crypto"
export function signImgproxyPath(keyHex: string, saltHex: string, path: string) {
const key = Buffer.from(keyHex, "hex")
const salt = Buffer.from(saltHex, "hex")
const hmac = crypto.createHmac("sha256", key)
hmac.update(Buffer.concat([salt, Buffer.from(path)]))
return hmac.digest("base64url")
}
Final signed URL:
{IMGPROXY_UPSTREAM}/{signature}{path}
Security rules
- Не отдавать
IMGPROXY_KEYиIMGPROXY_SALTв браузер. - Source URL валидировать в Backend/worker.
- Разрешать только
httpиhttps. - Запрещать localhost, private IP, loopback, link-local.
- Source host должен быть enabled в
allowed_image_hosts. - Не давать клиенту произвольные imgproxy options.
- Использовать presets и deterministic
variantHash.