假设我有一个POST /images端点,该端点接受一个图像文件(通过multipart/form-data)并将其元数据保存为数据库中的Image实体。端点仅对具有权限的用户可用。现在我想知道一件事:
我应该:
Image资源,请在本地保存文件之前授权用户Image资源从逻辑上考虑,我宁愿选择选项 2 ,因为我宁愿不允许每个用户将内容上传到我的服务器。
另一方面,很少有使用率很高的解决方案(即express的multer)鼓励在进行进一步处理之前先保存文件。我没有这种方法,因为它允许潜在的恶意用户上传垃圾邮件,或者只会导致大量垃圾文件(如果文件保存后授权失败)。
我很想听听关于这个主题的任何想法。