我需要确保登录到我网站的经过身份验证的用户只能访问在S3存储桶中分配给它们的子文件夹,而不能访问其他文件夹。
场景:我有一个允许登录用户上传视频的网站。在S3上,每个用户在顶级存储桶中都有自己的文件夹。
当用户登录时,该网站会将带有S3网址的网页加载到他们的视频中。为确保只有经过身份验证的用户可以观看视频,所有S3视频都是私有的。但是,如果HTTP引用者是我的站点,则存在允许GET请求的存储桶策略,以便点击链接的用户可以查看该视频。
在此设置下,一个用户是否可能以某种方式操纵HTML或使用其他漏洞来查看其他用户的视频?
是否有更好的方法可以确保经过身份验证的网站用户只能访问s3存储桶的某个子文件夹?我查看了预先签名的URL,但所需的到期点似乎有问题。只要用户登录,我希望他们能够访问s3上的文件。
感谢。