Как правильно хранить/отдавать файлы?

1

2

Как лучше хранить файлы пользователей которые не должны быть доступны по прямым ссылкам? При этом некоторые из них являются изображениями и на них нужны превью которые тоже не должны быть доступны по прямым ссылкам.

В системе есть сессии и отдельные страницы на которых есть возможность забирать конкретный файл.

Если вкратце- сейчас сделал отдельный скрипт и генерирую md5(microtime) ссылку на файл ну и просто при обращении к скрипту проверяю сессию и потом отдаю md5 ссылку которая живет до клика, зеркала md5 на файлы храню в БД.

Может можно проще?

Ссылка

←	Чатик на WebRTC - имеет ли смысл

pica - WebGL resize, потестируйте

→

Проверяй реферер.

Deleted
(24.01.16 16:04:47 MSK)

генерирую md5

Но зачем, ты же можешь по одной и той же ссылке (постоянной) отдавать как оригинал, так и заглушку, в зависимости от сессии. Или ты хочешь чтобы вообще было непонятно, есть картинка или нет? Тогда проще вообще не использовать ссылки и загружать картинки js-ом в сыром виде, т.е. не ссылками, а как base64 строки в JSON.

no-such-file ★★★★★
(24.01.16 17:17:16 MSK)

Ответ на: комментарий от Deleted 24.01.16 16:04:47 MSK

Рефер легко подделать.

VictimOfLoveToLinux ★
(24.01.16 17:45:51 MSK) автор топика

Ответ на: комментарий от no-such-file 24.01.16 17:17:16 MSK

Смысл в том что ссылка получается одноразовая. А если я тебя правильно понял у тебя будет статичная ссылка которая перенаправляет тебя на заглушку.

VictimOfLoveToLinux ★
(24.01.16 17:47:16 MSK) автор топика

X-Accel/XSendfile.

heilkitty ★★
(24.01.16 18:03:47 MSK)

Ответ на: комментарий от heilkitty 24.01.16 18:03:47 MSK

Решение на стороне веб сервера это конечно круто но если его перестанут обновлять?

VictimOfLoveToLinux ★
(24.01.16 18:07:32 MSK) автор топика

Ответ на: комментарий от VictimOfLoveToLinux 24.01.16 17:45:51 MSK

Как и выдрать картинку со страницы.

Deleted
(24.01.16 18:18:30 MSK)

Ответ на: комментарий от Deleted 24.01.16 18:18:30 MSK

Смысл не в защите от пользователя а в защите от передачи данных по средствам ссылок.

VictimOfLoveToLinux ★
(24.01.16 18:46:39 MSK) автор топика

Ну как-то так. Кликнул на ссылку - сгенерил транзакцию, положил в бд, редиректнул на контроллер качалки - проверил хеш транзакции на основании сессионных данных + ип, отдал файл, заблокировал транзакцию.

drull ★☆☆☆
(24.01.16 18:51:14 MSK)

Ссылка

Ответ на: комментарий от VictimOfLoveToLinux 24.01.16 18:46:39 MSK

Ну так реферер и защитит.

Deleted
(24.01.16 18:51:25 MSK)

Ссылка

Ответ на: комментарий от VictimOfLoveToLinux 24.01.16 18:07:32 MSK

но если его перестанут обновлять

Кого? Веб-сервер?

heilkitty ★★
(24.01.16 19:24:28 MSK)

Ссылка

Ответ на: комментарий от heilkitty 24.01.16 18:03:47 MSK

OK. Не так понял. Лучше реферер тогда.

heilkitty ★★
(24.01.16 19:25:22 MSK)

Ссылка

Ответ на: комментарий от VictimOfLoveToLinux 24.01.16 18:46:39 MSK

а в защите от передачи данных по средствам ссылок.

Передаче кому? Другому пользователю? Тогда просто проверяй в своем скрипте, которым отдаешь картинку, сессию, что залогинен тот пользователь, который имеет право видеть картинку, хеш в этом случае не нужен.

goingUp ★★★★★
(24.01.16 19:41:12 MSK)
Последнее исправление: goingUp 24.01.16 19:42:31 MSK (всего исправлений: 1)

Ссылка

Ответ на: комментарий от VictimOfLoveToLinux 24.01.16 17:47:16 MSK

будет статичная ссылка которая перенаправляет тебя на заглушку

И чем тебя это не устраивает?

Ну допустим, не устраивает, ок, а что на счёт загрузки через js вообще без ссылок на картинки?

no-such-file ★★★★★
(24.01.16 20:56:12 MSK)

Ответ на: комментарий от no-such-file 24.01.16 20:56:12 MSK

Ну допустим, не устраивает, ок, а что на счёт загрузки через js вообще без ссылок на картинки?

Я так не пробовал, есть примеры?

VictimOfLoveToLinux ★
(24.01.16 20:58:02 MSK) автор топика

Ответ на: комментарий от VictimOfLoveToLinux 24.01.16 20:58:02 MSK

есть примеры

http://jsfiddle.net/bYGum/

Загугли javascript image base64 src

no-such-file ★★★★★
(24.01.16 21:07:00 MSK)

Ответ на: комментарий от no-such-file 24.01.16 21:07:00 MSK

Ого, клёво, я не знал. Спасибо, пойду попробую.

VictimOfLoveToLinux ★
(24.01.16 21:10:35 MSK) автор топика

Ссылка

Ответ на: комментарий от no-such-file 24.01.16 21:07:00 MSK

Спасибо ещё раз, сегодня внедрил в проект и обкатал, очень интересное решение.

Только очень мало информации на русском.

Только вот как конкретно определять формат файла на выходе? Записывать его формат на входе при конверте и хранить в таблице вместе с Base64?

А то я на выходе получаю без форматный файл, или я что-то не так делаю?

VictimOfLoveToLinux ★
(25.01.16 16:16:34 MSK) автор топика

Ответ на: комментарий от VictimOfLoveToLinux 25.01.16 16:16:34 MSK

Только вот как конкретно определять формат файла на выходе? Записывать его формат на входе при конверте и хранить в таблице вместе с Base64?

Тебе виднее, я ж не знаю как там у тебя логика устроена. Я бы замутил кэш для картинок в преобразованном виде, как они отдаются, т.е. всю строку вместе с mime.

no-such-file ★★★★★
(25.01.16 18:21:52 MSK)

Ответ на: комментарий от no-such-file 25.01.16 18:21:52 MSK

Слушай я тут понял свой фейл с этим методом, я начал хранить все файлы в таком формате: ID/base64_code/mime/etc..

Ведь таблица поползёт по швам через месяца 2-3 тк каждый файл размазывается строк на 300.

Чёт я не подумал ни разу.

VictimOfLoveToLinux ★
(25.01.16 18:45:13 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Чатик на WebRTC - имеет ли смысл

Web-development

pica - WebGL resize, потестируйте

→

Похожие темы