在使用基于cookie的正常身份验证的站点中,密码存储在cookie中,是否有办法仅为已登录的用户提供文件?
答案 0 :(得分:2)
简短回答:不。
答案很长:您可以编写一个经过身份验证的应用程序,用户必须登录该应用程序,然后应用程序管理标题的汇编以及用户访问给定文件的内容。例如,如果您的用户需要下载PDF或其他东西,您可以发送pdf标题然后发送二进制数据;他们将无法看到您正在服务的服务器上的文件。缺点是,这比从文件系统或CDN推送文件要慢。
另外,请勿将密码存储在cookie中。创建一个哈希或者你可以访问的东西并再次验证,但cookie中的密码只是一个坏主意;那些家伙是明文!