我正在实施一个Web应用程序,我允许用户上传图像,我将这些图像直接保存到云存储中,我想只允许该特定用户下载或查看image,我该如何设置这样的限制? (oauth协议肯定没有用,因为它需要谷歌登录基础认证)
我想仅通过我的网络应用程序允许用户下载图像,目前我正在创建有效期为10分钟的签名,但如果有人在此期间看到网络流量,并注意到网址,那么其他人在这些链接期间使用该链接10分钟即可下载图片。那么如何让我的系统全面?
答案 0 :(得分:1)
Ohkey,故事的道德是,如果我们向谷歌云存储发送HTTPS请求,那么网络管理员或入侵者将无法看到实际的完整网址,他们只能看到主机& #39;我们的请求将要发送的IP地址......
如果我们将请求发送给https://storage.googleapis.com/bucket/object,那该怎么办?然后实际发生的是它会向storage.googleapis.com发送请求以获得安全的HTTPS连接,一旦生成令牌,SSL就会发挥作用并将剩余的URL数据传递给服务器,所以这里发生的是,管理员或入侵者会知道我们正在向storage.googleapis.com发送请求,但却无法看到我们的bucketName和其他签名内容
因此,我们的数据文件通过HTTPS连接下载/上传保持安全
这个Stack Exchange问题帮助我理解了更多https://security.stackexchange.com/questions/34794/if-ssl-encrypts-urls-then-how-are-https-messages-routed https://security.stackexchange.com/questions/20803/how-does-ssl-tls-work/20847#20847