Chr*_*rre 3 c# security url picasa
我只是在考虑当前Web项目的URL。用户可以使用网站访问不同的资源,例如图像。URL看起来像这样http:// localhost:2143 / p / AyuducjPnfnjZGfnNdpAIumehLiWaYQKbZLMeACUqgsYJfsqarTnDMRbwkIxWuDd
现在,我确实需要高性能,一种方法可能是省略对数据库的额外往返身份验证,而仅依靠URL来进行猜测。
Google通过Picasa网络相册来实现此目的,您可以将相册设为私有或不公开。这样可以保护相册,但不能保护照片本身。拍下Skagen(丹麦)的照片;http://lh4.ggpht.com/_Um1gIFfF614/TQpVMvN3hPI/AAAAAAAANRs/GY5DxrDPHUE/s800/IMG_4074.JPG,它实际上在私人相册中,但您都可以看到。
那么您对此有何看法?64个字符长的随机字符串是否足够“安全”?还有其他方法吗?
假设我选择对资源的每个请求进行身份验证。用户已登录somedomain.com上的网站,他们可以在其中访问他们的相册。Cookie被丢弃以维持其身份验证。
现在,实际照片通过某种形式的CDN或存储服务在完全不同的URL上提供。
您将如何维护多个域的身份验证?假设两张专辑的内容可以从不同的服务器传递。
算一算。从62个可能值(26 + 26 + 10:大写/小写/数字)的密码中随机选择64个字符(不rand()!),将产生5.16e + 114个可能值(62 ^ 64)。每秒尝试一百万种组合,将需要1.63e + 101年的时间(比googol费钱)来猜测代码。可能已经足够好了。短一点的也可能很好。
