我正在编写一个java ee应用程序,它有自己的用户和角色存储库(基于Spring Security Framework)。在应用程序中,一些用户上传大文件。
我希望保护这些文件(即只有上传文件的人才有权访问它;实际上授权逻辑比这复杂一点)。我的用户没有任何帐户。
我想将这些文件存储在S3上,但我还没有找到安全的方法。实际上,我还没有找到一种表达引用我的用户和角色的ACL的方法。
我考虑过为我的文件生成不透明的名称(很难猜到)。我的java ee应用程序可以确保访问包含该文件链接的网页受到保护。一定程度的保护,但对蛮力附庸来说似乎相当脆弱。
有什么想法吗?