pixivFANBOX「見せない」技術 / Technology to keep contents private

「見せない」技術 pixiv TECH SALON lightning talk pixiv Inc.

2 • 2016年4月ピクシブ新卒入社 • pixivFANBOX立ち上げメンバー主にコンテンツ管理・国際化など開発 • PHP・TypeScript中心にあちこち触ってます趣味
プリキュア / 料理・スイーツ / アロマテラピー園芸 / 温泉めぐり / 音楽 (ピアノ・ギター・歌) 北野貴章

• pixivFANBOXについて • コンテンツを「一部ユーザー以外に見せない」話 • 動的画像変換プロキシ・キャッシング機構を組み合わせる場合注意点詳細なコード
話ほとんどしません 3 今回話すこと

4 について https://www.pixiv.net/fanbox • ピクシブ運営するクリエイター支援プラットフォーム • クリエイターに毎月一定額を支援して創作活動を支える •
2016年初期リリース後、 2018年4月に今サービスに生まれ変わる • クリエイター収入源ひとつ ◦ 2019年2月現在クリエイター数 5万人突破 ◦ 支援金還元額5億円突破

5 クリエイターに対して支援をしている一部人だけにアクセスできる、という限定コミュニティを提供することが重要「URLをシェアすれ誰でもアクセスできる」サービスへ不信につながる
なぜ「見せない」ことが重要か

6 • 保護するほど体験が下がる ◦ 専用ハードやソフトウェア使用、など • ブラウザにダウンロードされている以上コピー防げない DRMやコピーガード
技術 Webと相性が悪い「URLを知り得たユーザーにアクセスさせない」程度保護レベルを達成する「コンテンツ保護」いたちごっこ

7 1. アクセス可能なネットワークを制限する (ex. 社内イントラ) 2. ワンタイムURLを認証後都度発行する (ex. S3 Presigned
URL) ◦ URL 認証ごとに都度生成 ◦ 期限内であれ URL コンテンツ誰でもアクセス可能 3. リソース URLごとに対して認証をかける ◦ URL リソース単位で一定 ◦ Webページと同じ方法（ブラウザセッションやトークンなど）が使える画像・ファイルリソースに対してアクセス制御で初期要件でを一定にしたかったため、を採用

8 リクエストをアプリケーション(AP)で受けて、Sessionを用いて認証をかける APにコンテンツをプロキシさせると、コンテンツを返し終わるまでIOがブロックされうるアプリケーション認証機能みに専念させたいアプリケーションを用いた都度認証 <?php echo
file_get_contents(...);

9 Nginxで、リクエスト後に内部リダイレクトを実現する仕組み。特殊なヘッダをアプリケーションからレスポンスすることによって、内部的に設定されたパスに Nginxによってプロキシさせることが可能 HTTPに対応していれバックエンドサービスによらず使える 200 OK Content-Type:
image/jpeg X-Accel-Redirect: /_protected/image.jpeg

10 ユーザーリクエスト流れ

11 略図

12 location /_internal/fanbox/ { internal; proxy_pass http://...; } Nginx設定

13 session リクエスト開始認証処理

14 認証失敗

15 認証成功 200 OK Content-Type: image/jpeg X-Accel-Redirect: /_internal/fanbox/xxx.jpeg

16 内部リダイレクト AP レスポンス既に終了

17 動的画像変換・キャッシング

18 • サイトデザインにあわせて最適なサイズ画像を効率よく返すため画像変換プロキシを使っている • ピクシブ製画像変換サービス「 ImageFlux」で使っている
画像変換サーバーを社内ネットワーク用に設定し運用オブジェクトストレージレスポンス遅いため、できるかぎりキャッシュしたい画像動的変換・キャッシュサーバー

19 縮小画像リクエスト

20 認証成功 200 OK Content-Type: image/jpeg X-Accel-Redirect: /_internal/fanbox/c/400/xxx.jpeg

21 キャッシュ探索ヒットなし

22 動的画像変換キャッシュ生成

23 次回アクセス時ヒット

24 Cache-Control ヘッダに注意

25 • pixivFANBOXでユーザーアップロードしたコンテンツに対するアクセス制限を紹介 • Nginx X-Accel機能を使っており、バックエンドサービスによらず
使える • 動的画像変換プロキシを使う場合も対応できる • キャッシングを用いる場合 Cache-Controlヘッダ制御について注意が必要まとめ

pixivFANBOX「見せない」技術 / Technology to keep contents private

pixivFANBOX「見せない」技術 / Technology to keep contents private

Takaaki KITANO

Other Decks in Technology

Featured

Transcript

「見せない」技術 pixiv TECH SALON lightning talk pixiv Inc.

2 • 2016年4月ピクシブ新卒入社 • pixivFANBOX立ち上げメンバー主にコンテンツ管理・国際化など開発 • PHP・TypeScript中心にあちこち触ってます趣味

• pixivFANBOXについて • コンテンツを「一部ユーザー以外に見せない」話 • 動的画像変換プロキシ・キャッシング機構を組み合わせる場合注意点詳細なコード

4 について https://www.pixiv.net/fanbox • ピクシブ運営するクリエイター支援プラットフォーム • クリエイターに毎月一定額を支援して創作活動を支える •

5 クリエイターに対して支援をしている一部人だけにアクセスできる、という限定コミュニティを提供することが重要「URLをシェアすれ誰でもアクセスできる」サービスへ不信につながる

6 • 保護するほど体験が下がる ◦ 専用ハードやソフトウェア使用、など • ブラウザにダウンロードされている以上コピー防げない DRMやコピーガード

7 1. アクセス可能なネットワークを制限する (ex. 社内イントラ) 2. ワンタイムURLを認証後都度発行する (ex. S3 Presigned

10 ユーザーリクエスト流れ

11 略図

12 location /_internal/fanbox/ { internal; proxy_pass http://...; } Nginx設定

13 session リクエスト開始認証処理

14 認証失敗

15 認証成功 200 OK Content-Type: image/jpeg X-Accel-Redirect: /_internal/fanbox/xxx.jpeg

16 内部リダイレクト AP レスポンス既に終了

17 動的画像変換・キャッシング

18 • サイトデザインにあわせて最適なサイズ画像を効率よく返すため画像変換プロキシを使っている • ピクシブ製画像変換サービス「 ImageFlux」で使っている

19 縮小画像リクエスト

20 認証成功 200 OK Content-Type: image/jpeg X-Accel-Redirect: /_internal/fanbox/c/400/xxx.jpeg

21 キャッシュ探索ヒットなし

22 動的画像変換キャッシュ生成

23 次回アクセス時ヒット

24 Cache-Control ヘッダに注意

25 • pixivFANBOXでユーザーアップロードしたコンテンツに対するアクセス制限を紹介 • Nginx X-Accel機能を使っており、バックエンドサービスによらず