MMS media_urls的安全性

时间:2017-10-26 16:29:00

标签: twilio

Twilio新手。使用Python中的Twilio SMS / MMS API开发IT警报功能。后缀别名执行程序处理消息并通过Twilio MMS将基本数据发送给指定的接收者。

图像等媒体通过media_url属性访问Client.messages.create(),通过指向我必须通过HTTP服务器存储和提供的内容的URL。

我已经确认是这种情况,所以我的问题是:

如何控制对这些图片的访问权限,以便只有Twilio才能访问这些图片,并且仅在邮件发送过程中?

我目前的解决方案是一个kludge,用于postscript别名执行程序编写与消息关联的媒体文件列表,然后编写我自己的status_callback,当我得到一个&时,它会删除该列表中的文件#34;递送"状态(或某个时间限制到期)。

这是一个问题,因为媒体文件可以在公共场所访问,但需要很长时间才能传送"到达的状态或我的超时发生。

我尝试了各种搜索,但没有适用的安全机制。

1 个答案:

答案 0 :(得分:1)

我使用基本身份验证并从受密码保护的专用目录中提供我的所有Twilio内容,Twilio似乎很乐意接受带有内联用户名@密码参数的网址。

我认为Twilio也会在某个地方发布他们的IP地址范围列表,所以如果你真的想要锁定你的媒体目录,你可以将这些列入白名单,并拒绝在服务器配置中访问该目录的所有其他内容。

要在处理它们后删除它们,我可能会编写一个由Twilio状态webhook触发的基本脚本,并将可以删除的图像文件名添加到数据库表中。我认为你可以通过某种验证令牌来为Twilio返回一个回调以获得额外的安全性。

然后每隔几分钟运行另一个脚本作为cron作业(在具有删除媒体目录中文件的权限的不同用户帐户下)读取数据库,删除目录中列出的所有文件,然后清除数据库准备好下次。

修改

考虑到这一点,你可以在Twilio排队你的消息后立即删除文件,因为我很确定他们在提交时将你的媒体文件复制到他们的服务器上。这些文件可公开访问(但没有人可能猜到的名称)。您可以使用HTTP DELETE删除它们