问题描述
直截了当,我使用以下格式将用户的个人资料图片存储在 AWS S3 存储桶中:<company-uuid><user-uuid>.jpg. 这种命名约定导致生成的 URL 几乎不可能被外人猜到。
示例:https://---.---.com/8794ee24-24ae-49f1-9cff-22d23b0ebef7957a74be-f1ac-493b-b866-b90311bf63a2.png
公开存储这些个人资料图片(使用上面列出的命名约定)是否可以接受,还是应该使用某种类型的身份验证中间件?
解决方法
我强烈建议您谨慎行事,并限制公众访问您的用户提供的任何图像或内容。如果您没有对图像进行任何处理以删除元数据,则尤其如此; EXIF 数据可以揭示很多关于谁拍摄图像的信息,这可能会产生各种隐私影响。