Seafile 12.0 升级后文件下载权限问题分析与解决方案

问题背景

在Seafile 12.0版本的升级过程中，部分用户遇到了文件下载权限问题。主要表现为：

1. 通过Web界面下载文件时出现"403 No permission to access file"错误
2. 通过公开分享链接下载时返回400 Bad Request错误
3. 文件预览功能正常，但下载功能异常

问题原因分析

经过深入排查，发现该问题主要与以下配置相关：

1. ALLOWED_HOSTS设置不当：Seafile 12.0对安全策略进行了强化，需要确保seahub_settings.py中的ALLOWED_HOSTS配置包含127.0.0.1地址。这是因为内部API调用需要通过本地回环地址进行验证。

2. 反向代理配置问题：当Seafile部署在反向代理(如Nginx、Traefik)后时，需要确保/seafhttp路径被正确处理。特别是Traefik用户需要添加特定的路径剥离(stripPrefix)中间件配置。

3. JWT密钥配置：升级过程中如果JWT_PRIVATE_KEY未正确配置或迁移，会导致内部API认证失败。

解决方案

基础配置修复

1. 修改seahub_settings.py：

ALLOWED_HOSTS = ['yourdomain.com', '127.0.0.1']
CSRF_TRUSTED_ORIGINS = ["https://yourdomain.com"]

2. 验证JWT密钥： 确保docker-compose.yml或环境变量中JWT_PRIVATE_KEY配置正确且一致。

反向代理配置

对于使用Traefik的用户，需要添加以下标签配置：

labels:
  - traefik.http.routers.seafhttp.entrypoints=https
  - traefik.http.routers.seafhttp.rule=Host(`yourdomain.com`) && PathPrefix(`/seafhttp`)
  - traefik.http.routers.seafhttp.middlewares=sf-strippath
  - traefik.http.middlewares.sf-strippath.stripprefix.prefixes=/seafhttp

其他注意事项

1. 确保所有服务使用相同的时间同步设置
2. 检查数据库连接配置是否正确迁移
3. 清理浏览器缓存后重新测试

技术原理

Seafile 12.0加强了安全机制，文件下载流程现在需要经过以下验证步骤：

1. 前端请求获取下载令牌
2. 后端通过内部API验证用户权限
3. 下载请求被重定向到seafhttp服务
4. seafhttp服务验证令牌有效性

其中任何一步验证失败都会导致下载失败。ALLOWED_HOSTS的设置确保了内部API调用的合法性，而反向代理配置确保了下载请求能够正确路由到seafhttp服务。

总结

Seafile 12.0版本在安全性方面有所增强，这可能导致从旧版本升级时出现文件下载问题。通过正确配置ALLOWED_HOSTS、检查反向代理设置以及验证JWT密钥，可以解决大多数下载权限问题。建议用户在升级前仔细阅读官方升级指南，并在测试环境中先行验证配置变更。