Как мы можем ограничить доступ анонимных пользователей к файлам в общей папке?

Jewel Chakraborty

19.02.2023, 05:11

В моем проекте я использую безголовый Drupal с .Net на интерфейсе.

Я должен использовать зашифрованную файловую систему для требований проекта. Я шифрую файлы, а затем расшифровываю их с помощью токена oauth и сохраняю их в общей папке, чтобы приложение .Net могло получить файл в качестве ответа API. Но проблема начинается здесь. Поскольку эти файлы находятся в общей папке, если пользователь войдет на сайт, а затем скопирует этот URL-адрес и вставит его в другой браузер, он сможет легко просмотреть этот файл. Но это нежелательное требование, и оно создает серьезную брешь в системе безопасности. Итак, мой вопрос: как мы можем ограничить доступ к общедоступным файлам анонимных пользователей?

143

0 + 0

Drupal-консоль

Clive

19.02.2023, 10:21

_как мы можем запретить доступ к публичным файлам анонимным пользователям?_ Вы не можете, во всяком случае, не в конце Drupal. Стандартная настройка веб-сервера для Drupal будет обслуживать статические файлы, если они существуют, и обходить Drupal (по очевидным причинам производительности). Drupal имеет частную файловую систему именно для этого случая использования, но вам нужно будет аутентифицировать запросы от вашего внешнего интерфейса к Drupal, чтобы использовать ее. Вы можете легко сделать это, войдя в систему через конечную точку REST и используя информацию сеанса/токена, которую вы получаете от нее, для последующих запросов.

Ответить

Рейтинг:1

Drupal

David Thomas

19.02.2023, 05:50

Drupal provides a private file system mode for files ( https://www.drupal.org/docs/8/core/modules/file/overview#s-managing-file-locations-and-access ) that allows restricting access via hook_file_download ( https://api.drupal.org/api/drupal/core%21lib%21Drupal%21Core%21File%21file.api.php/function/hook_file_download/8.9.x )

If you canât use private file system mode for storage then youâll need to restrict access in your web server, such as nginx.

0 + 0

Jewel Chakraborty

19.02.2023, 07:54

Я также пытался использовать частные файловые системы, но не могу получить ответ от конца .Net, поскольку файлы являются частными. Есть ли способ получить эти файлы в ответ с конца .Net? Для получения дополнительной информации обратитесь к этой ссылке один раз: https://drupal.stackexchange.com/questions/307514/how-can-the-custom-files-copied-by-code-to-the-private-directory-be -доступный-t/307599#307599"

Ответить

Jewel Chakraborty

19.02.2023, 09:22

Я уже пытался ограничить доступ на веб-сервере, но и в этом случае я должен обойти эту аутентификацию с конца .Net, чтобы получить ответы API. Опять же, мне придется отправить имя пользователя и пароль с добавлением URL-адреса, чтобы обойти эту аутентификацию на уровне сервера. Хакер может получить этот пароль пользователя, проверив веб-сайт, что снова приводит к нарушению безопасности.

Ответить

Admin

Этот вопрос на других языках:

EN: How can we restrict the access of files in public folder from anonymous users?

TH: เราจะจำกัดการเข้าถึงไฟล์ในโฟลเดอร์สาธารณะจากผู้ใช้ที่ไม่ระบุชื่อได้อย่างไร

RO: Cum putem restricționa accesul la fișierele din folderul public de la utilizatori anonimi?

RU: Как мы можем ограничить доступ анонимных пользователей к файлам в общей папке?

VI: Làm cách nào chúng tôi có thể hạn chế quyền truy cập tệp trong thư mục chung từ người dùng ẩn danh?

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.