网站后端如何设计文件系统的鉴权
2.
我的网站正常情况下的api请求是通过请求头携带session token来进行鉴权的。
3.
那么我应该要怎么来实现浏览器通过 get 请求能够正确的读取上传的图片文件呢
我想用户可以在前端使用 session id + 资源 构造请求参数 ,然后使用 session token 对请求参数进行签名生成url类似 /img/100?session=3&sigin=xxxxx 这样 token是不会暴露的。
而后端则是通过 session id 获取对应的 token 然后校验签名,这样就可以确定用户是哪一个了。
这样就能防止用户不小心复制分享来url结果token被直接