问题如下:
我有许多公共网址,例如:
http://www.example.com/randomHash
问题是我想与一组特定的用户共享它,但我不希望他们能够与其他未经授权的人共享链接。
我认为的第一个解决方案是创建一个处理身份验证并屏蔽原始 URL 的接口,向用户显示我的身份验证域。问题是用户可以轻松找到 url,而我找不到如何做到这一点的参考。这条线有什么解决方案吗?还是另一种方法更适合?
假设 URL 是可公开访问的(即不在任何形式的身份验证后面(,这无法解决。原因相当简单,URL被发送到客户端,因为你不能信任客户端,所以无法保证客户端会保持URL的安全。
此外,值得记住的是,URL 通常不被视为机密,这意味着代理和缓存等产品将记录 URL,并且日志可供管理员等使用。最后,在较大的组织中,urldefense等工具将从电子邮件中删除URL,并用自己的URL替换它们,以确保任何点击链接的人都会通过他们的系统。这意味着将有重定向到您的URL的解决方案。
对此的典型解决方案是对用户进行身份验证,并有一个解决方案,该解决方案将在尝试直接访问 URL 时将尚未进行身份验证的任何用户重定向到登录屏幕。确切的实现在很大程度上取决于您当前的环境、编程语言、框架等。