标签: backblaze

我使用 B2 作为我们开发的网站上图像的存储。

事实上，B2 需要提供数百万张图像，我想知道使用本机 URL 或 B2 提供的友好 URL 在交易上限方面是否有区别？

请参阅下面的示例 URL：

情况：我在网络中运行一个 Django 应用程序，登录用户还可以下载 .pdf 文件（非公开，有特定限制，具体取决于用户权限）。最方便的方法（例如在 S3 中）是使用有时间限制的预签名 URL，因为它们会立即在浏览器中打开，而且应用程序服务器无需处理额外的流量。

问题：Backblaze B2 显然没有提供明确的方法来创建预签名 URL 以直接在浏览器中下载非公开文件。生成 api URL 和授权令牌以及从对象存储中获取文件发生在应用程序服务器级别，并且该过程不会向“普通”用户公开。

但最终，API 操作“b2_download_file_by_name”仅使用 GET 请求，这意味着我可以使用“?Authorization=123xyz........”将授权令牌添加到请求的 URL。这样我就可以获得一个在浏览器中完美运行的预签名 URL，以允许在有限的时间内访问特定的非公开文件。（请注意：B2 下载可以限制为具有特定前缀的文件 [如 s3 伪文件夹]，但如果指定的“前缀”足够长，我可以使身份验证令牌特定于一个文件。）

问题：正如我上面所写，通常授权令牌不会暴露给用户。现在，如果我使 URL 可见，这是否意味着存在安全风险？换句话说，拥有一个或多个令牌的用户是否可以从令牌中提取通用访问密钥，或者令牌是否加密得足以避免这种情况？