3
我一直在想这个和关闭,并做了一个快速测试与Facebook。假设你有一个类似Facebook的网站并将其分解为图像和配置文件。您选择与朋友分享或不分享的图像。很显然,在数据库中,如果元数据是共享的,它与谁共享等元数据上应用了值。资源,如图像,并确保他们
现在说我查看特定的形象,所以我现在已经为资源(在这个例子中的图像)的HTTPS URL。此时,可以在不登录的情况下查看资源,也可以查看任何类型的令牌。您拥有该网址,将其加载到任何浏览器中,然后您就可以看到该资源。当然,它是在SSL层提供的,它们有相当长的,复杂的名称,但我可以在不进行身份验证的情况下查看它。
我不禁想,这是可以做的最好?这种类型的内容可以安全吗?如果你有一个直接的URL,你不能加载它?那些可能更敏感的文件呢?如果有人有路径,他们现在可以永远访问该资源吗?在这种情况下,OAuth可以提供任何帮助吗?
我想我只是想大声对这些资源如何被保护,所以,如果我直接打了一个网址,我不会总是得到这个资源不被认证。我可能错过了另一个流程或方法吗?如果是这样,性能和安全性之间的平衡和权衡是什么?希望研究可扩展的选项。
投下这个问题是愚蠢的。 – Michael
另一个投票呢?真。也许人们应该实际评论或添加到这篇文章。有趣的我认为堆栈溢出是为了分享想法... – Michael
同意。如果您对此投票,请留下评论为什么。海事组织这个问题没有错。安全性对于软件开发非常重要,完全依赖于主题。 –