Daz*_*zle 4 amazon-s3 amazon-web-services laravel
我得到了客户端中间件 - 但我不希望用户意外或恶意删除其他用户的资源.
如何保护S3上的资源,以便用户只能删除其资源而不删除任何其他用户的资源?
非常感谢
我不希望用户意外或恶意删除其他用户的资源
设置S3 Bucket时,可以配置任何人对存储桶资源的权限.如果我没错,默认情况下一切都被视为"私人".
您还需要做的是配置IAM用户并授予他访问权限(通过策略)以允许他读取并在您的存储桶中写入数据.如果你这样做,只有这user可以做重要的事情:写.所有这些资源"编写"(创建/更新/删除)都需要在您的服务器上代表此"IAM用户"使用用户密钥/机密凭证完成.
这使您成为在S3中进行更改的唯一方法.通过此设置,即使您的恶意用户知道存储桶的路径,您的资源也是安全的,因为这些用户最多只能获得"读取"访问权限.
我建议你遵循这篇文章(或这一个,如果你懂西班牙语)为指导,以建立您的S3桶.
作为对此另一个问题的回应:
如何保护S3上的资源,以便用户只能删除其资源而不删除任何其他用户的资源?
所有这些操作都需要在服务器中处理,以确保完整性/安全性.您的用户无需直接访问您的资源即可对其进行修改.
也许你的问题朝这个方向发展:
如果系统的端点看起来如此,如果巨魔用户想要更改其他人的个人资料图片怎么办?:
POST /users/{id}/update-photo
在这种情况下,您可以让恶意用户(假设用户id等于10)访问其他人的资源:
/**
* he/she could do this:
*/
POST /users/23/update-photo // <-- id=23
/**
* instead of:
*/
POST /users/10/update-photo // <-- id=10
怎么避免这个?使用auth检查和路由"屏蔽".
/**
* Instead of this:
*/
POST /users/23/update-photo // <-- user id=23
/**
* Try this kind of endpoint:
*/
POST /profile/update-photo // <-- note that we disabled the ability to specify a user id
如何识别用户?如果是通过令牌的API,则通过会话进行Web调用.在此示例中,为了识别用户,您执行以下操作:
public function updatePhoto(Request $request)
{
$user = auth()->user(); // <-- now we ensure the user is id=10
// the rest of the code..
}
当然,我只是假设这是您关注的问题之一,但这是一个简单的示例,说明如何在服务器端实现此类验证以确保您的资源得到保护.
| 归档时间: |
|
| 查看次数: |
205 次 |
| 最近记录: |