我正在构建一个带有服务器端后端的移动应用程序。 应用程序具有许多不同的功能+一些社交网络功能。
我遇到的问题是保护Amazon S3上的资源。
让我们想象一下,该用户已收到Amazon S3的网址,其中存储了他朋友的图片。网址类似于:
https://bucket-name.amazon.com/some-unique-id-of-the-picture
所以现在用户可以随机(或顺序)开始生成一些独特的图片ID,并获得对其他用户私人图片的访问权限。我该如何限制?
实际上,我对此不太满意(这些图片在我们的应用程序中并不是非常机密),但是,一些用户的真正机密数据也存储在Amazon S3上(在另一个存储桶中)。我肯定需要保护它们。
如何保护这些数据?
使用时间限制的网址不是一种选择。 原因如下: 1)通过限时URL下载资源然后只使用本地副本 - 减慢应用程序速度(从Android上读取SQLite中的BLOB数据很慢)并且应用程序需要大量存储空间 2)缓存资源和仅存储URL将不起作用。由于用户可以清空缓存,但URL已经过期。
目前我看到的唯一解决方案: 通过我们的服务器发出所有请求,检查用户是否可以看到所请求的资源,然后从amazon读取数据并将其返回给用户。 不幸的是,这会对我们的服务器产生相当大的负担。
任何帮助/建议或建议都将受到高度赞赏。 提前谢谢。