我正在设计一个RESTful Web服务,我对如何在API端点上提供文件感到困惑。这些文件仅对某些用户有信心。
我正在使用AWS S3签名方法签署对API的所有请求。目前的情况是我有一个列表显示属于当前登录用户的所有文件。我不希望任何人点击任何文件的网址来显示此文件的内容。我需要使用与其他控制器一起使用的相同加密方法和文件,因此所有文件都必须使用每个get请求发送的Authorization标头进行保护。
那么,这样做的最佳方法是什么?
答案 0 :(得分:0)
您的应用程序应检查用户尝试访问哪个文件,如果用户与文件所有者不匹配,则应返回403状态(禁止访问)。听起来您已经知道用户是否是文件的所有者,因为您只列出属于用户的文件。如果用户不是所有者,则拒绝退回文件。