我需要向登录用户提供静态内容(主要是图像(,但这些图像不能公开。
客户端有基本的 JWT 授权。这些客户端具有映像,但这些映像必须是私有的(只有拥有它们的用户可以访问它们(。
我的图像由我的第二个节点提供.js服务器的工作方式类似于 CDN(缓存、无标头等......
我正在考虑像这样在 URL 中发送我的 JWT:http://static.example.com/image.jpg?token=jwtjwtjwtkwtjwt,但我的 JWT 很长而且不安全,因为如果用户共享 URL 到图像,他也分享他的 JWT。
允许标头并在标头中发送令牌...
或者在用户进行身份验证时为您的图像创建动态 URL,并具有一定的 URL 生存期(1 小时等(。示例:http://static.example.com/njafhiwe4ihyubwfejw而不是http://static.example.com/image.jpg。
加载图像时,您可以在请求标头中传递令牌。
如果上述方法对您不起作用,则可以创建一个 API,该 API 获取您的令牌和目标文件,并返回一个生存期较短的 URL 以访问该文件。