我无法为这个问题提出更好的名称,所以我为此道歉。
在我的应用程序中,您可以创建一个帐户,创建文件并将您在“视图版本”中创建的文件的链接发送给任何您想要的人。
创建,删除,读取......文件的路径受到保护,但“视图版本”不受保护。
我现在处理它的方式如下:
view-version的链接包含文件的id和用户登录时收到的令牌。 当收到链接的任何人打开页面时,令牌和id(即MongoDB中创建的条目的id)将被验证,如果它们有效,则用户可以看到该页面。 显然,令牌在一段时间后超时并且我假设,一旦令牌超时,观众将无法再查看页面(我实际上没有测试过这个,但我认为这是有意义的)。
我是新手创建需要针对某些网站进行用户身份验证的网站,所以我对如何解决此问题一无所知。
如果我让观众只使用id访问文件,那就不安全了,因为他可以通过尝试不同的id来查看所有文件(查看者不应该能够查看所有文件)。 所以,我想我要做的是将某个文件的视图版本发布给选定的受众。
我正在考虑创建一个永久令牌,我可以使用它来代替登录/注销时创建的令牌,这样查看器总能查看文件,但我不确定安全风险有多大
我尝试使用谷歌搜索如何最好地去做,但是,我的搜索没有成功。 这个概念通常如何实施?