在我的应用程序中,用户可以创建文件并发布它们。您需要登录才能创建/读取/更新/删除文件,但是您可以通过该链接查看文件(无需编辑等选项,您无需查看帐户)。
到目前为止,您需要一个用于身份验证的令牌来创建/编辑/等等帐户中的文件,但是,如果您有指向文件“view-version”的链接,则不需要链接命令检索文件数据和查看文件(意味着在视图版本中获取数据的路径未受保护)。 但是,这对我来说似乎是一个很大的安全风险,因为您可以访问文件数据(尽管不是用户数据)。
我想出的是以下内容: 除了用于识别相关文件的file-id之外,我还可以将令牌输入到查询字符串中,因此可以对查看该文件的任何人进行身份验证。 我对此很新,所以我不太了解什么是安全风险。在查询字符串中发送令牌对我来说似乎也是一个安全风险,但我不知道如何做我正在努力实现的目标,谷歌搜索并没有让我走得太远。
总结一下,我的问题是: 1.在查询字符串中发送令牌是否安全? 2.如果没有,我怎样才能达到我想做的目的?