判断用户权限后，如何高效的提供文件下载

问题：某些文件只希望特定用户可以下载，那么下载之前必须进行权限判断。判断通过时，跳转到被下载文件的真实地址肯定不行，这相当于没有做权限限制了。一般的做法是读取被下载的文件然后输出给用户。在这个过程中动态语言干了一件吃力不讨好的事情，转了一个弯读取数据然后在交给web服务器输出，多消耗了资源还可能降低下载速度。

对于此问题，我曾一度纠结，后来才发现web服务器有一个X-Sendfile的特性，可以很完美的解决这个问题。今天记录下以备将来查看。

X-Sendfile特性的基本原理，就是动态语言发送一个特殊的http header指令，这个指令只能被web服务器获取和识别，不会发送到用户端。其作用就是告诉web服务器一个文件路径，让其把这个文件发送给用户。不同web服务器可能有些差别，但几个常见的web服务器都支持这个特性。

以php为例

在Apache中可以这样写：

<?php
//.....
//权限判断通过
header("X-Sendfile: /download/thaiki.exe");

更详细的说明请看惠新宸博客

若是nginx

<?php
//.....
//权限判断通过
header('X-Accel-Redirect: /download/thaiki.exe');

更详细可以参考这篇博文