Защита пользовательского контента от получения по прямой ссылке

1

1

Здравствуй, ЛОР. Дело в том, что есть одна ~~тян~~ задача.

Суть такова: есть некий сервис, у которого бэкендом выступает Django, сервером Gunicorn и в качестве реверс-прокси и сервера статики - Nginx. Пользователи могут загружать файлы изображений для дальнейшей работы в сервисе. Хотелось бы чтобы при передаче прямой ссылки на эти файлы неавторизованному пользователю возвращался бы условный 403.

Из того что пришло в голову - только проверка Nginx'ом установленных кук, пинание бэкенда и только тогда отдача файла, но, прозреваю, это процесс относительно медленный, плюс непонятно что будет с заголовками кэширования. Мне хочется странного или существуют элегантные пути решения?

Ссылка

←	Выбор направления в веб разработке (js, py, etc)

Помогите со сложным редиректом на Apache

→

Всё уже придумано до нас: X-Accel. Прекрасно работает с django.

beastie ★★★★★
(15.06.16 18:17:41 MSK)
Последнее исправление: beastie 15.06.16 18:20:21 MSK (всего исправлений: 2)

Ссылка

https://github.com/RacingTadpole/django-private-media

pawnhearts ★★★★★
(15.06.16 18:18:27 MSK)

Ссылка

спрячь ссылку во флэш

anonymous
(15.06.16 18:18:45 MSK)

Ответ на: комментарий от anonymous 15.06.16 18:18:45 MSK

лучше в silverlight, кек.

Deleted
(15.06.16 18:19:52 MSK)

Ссылка

Ответ на: комментарий от anonymous 15.06.16 18:18:45 MSK

или в жабу

anonymous
(15.06.16 18:28:44 MSK)

Ссылка

может ограничиться проверкой реферера?

Goganchic ★★
(15.06.16 18:39:23 MSK)

Ответ на: комментарий от Goganchic 15.06.16 18:39:23 MSK

Вариант с X-Accel нравится больше пока что. Реферрера может и не быть в предельном случае и у авторизованного пользователя.

jesseydesu
(15.06.16 18:46:40 MSK) автор топика

Ссылка

if not request.user.is_authenticated:
    return error403

Goury ★★★★★
(15.06.16 19:18:33 MSK)

Ответ на: комментарий от Goury 15.06.16 19:18:33 MSK

Лол

jesseydesu
(15.06.16 20:59:24 MSK) автор топика

Ссылка

Мне хочется странного или существуют элегантные пути решения?

Рандомное длинное имя файла и запрет нжинкса на листинг директорий

Siado ★★★★★
(15.06.16 21:09:27 MSK)

Ответ на: комментарий от Siado 15.06.16 21:09:27 MSK

И как это помешает левому пользователю скачать файл по ссылке?

melkor217 ★★★★★
(15.06.16 23:23:03 MSK)

Ответ на: комментарий от melkor217 15.06.16 23:23:03 MSK

Левому пользователю просто не выдавать ссылку с рандомным именем файла

Siado ★★★★★
(16.06.16 08:25:08 MSK)

Ответ на: комментарий от Siado 16.06.16 08:25:08 MSK

Как будто они её до этого просили, бгг

melkor217 ★★★★★
(16.06.16 09:15:17 MSK)

Ответ на: комментарий от melkor217 16.06.16 09:15:17 MSK

Ну так в том и прикол, пусть попробует подобрать нужную ссылку =)

Siado ★★★★★
(16.06.16 09:33:26 MSK)

отдавать через персональный сертификат

anonymous
(16.06.16 09:36:06 MSK)

Ссылка

Ответ на: комментарий от Siado 16.06.16 09:33:26 MSK

Так не обязательно подбирать, можно ведь получить ссылку от другого пользователя, либо нагуглить где-нибудь на дне интернетов.

melkor217 ★★★★★
(16.06.16 10:07:07 MSK)
Последнее исправление: melkor217 16.06.16 10:07:20 MSK (всего исправлений: 1)

Ответ на: комментарий от melkor217 16.06.16 10:07:07 MSK

От другого пользователя можно и логин пароль получить, или вообще этот самый файл по почте

Siado ★★★★★
(16.06.16 11:09:38 MSK)

Ответ на: комментарий от Siado 16.06.16 11:09:38 MSK

От другого пользователя можно и логин пароль получить, или вообще этот самый файл по почте

Есть подозрение, что это не относится к задаче ТСа. Поясни, на каком этапе тут случается загрузка файла анонимусом по прямой ссылке с сайта?

melkor217 ★★★★★
(16.06.16 11:28:48 MSK)

Ответ на: комментарий от melkor217 16.06.16 11:28:48 MSK

Есть подозрение, что это не относится к задаче ТСа.

Впрочем да, не относится. Пропустил момент, что ТС собирается прямые ссылки на файлы публиковать.

Siado ★★★★★
(16.06.16 11:33:18 MSK)

Ссылка

Использовать HTTP авторизацию. Как в роутерах.

menangen ★★★★★
(16.06.16 12:46:30 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Выбор направления в веб разработке (js, py, etc)

Web-development

Помогите со сложным редиректом на Apache

→

Похожие темы