问题描述
我有一个使用基于令牌的身份验证的 asp.net web api 项目。我的应用上传和检索图像,并将文件路径与上传的用户 ID 一起保存在 table_myfiles 中。
如何保护我的资源以限制仅对基于 table_myfile 的用户的访问?而不是给任何没有登录或直接链接/路径的人?
一周以来我一直在寻找任何可能的解决方案,我认为我应该实现一个中间件来管理访问。但我找不到任何关于如何实现相同的资源。
目前我的 api 只是通过直接访问文件路径/链接来显示所有资源。
解决方法
简单的方法是从网站文件夹中删除 vitural 文件夹或该文件夹。这样,任何文件都不存在简单的 URL。
那么,让用户获取/查看/使用/下载文件?你展示了一个列表视图或某种网格(或中继器)来显示和列出文件。
那么,他们什么时候想下载或查看文件?
您使用 response.write 并将文件向下传输到客户端。
请记住,在服务器上,代码隐藏使用 100% 干净和正确的 Windows 文件路径。对于任何基于 Web 的 URL,该文件夹必须位于网站的有效路径中。当他们输入有效的 URL 时,它最终会被转换为站点中的给定文件夹(或在 IIS 中创建映射的“虚拟”文件夹时提供的外部文件夹。但是,如果您不提供该虚拟文件夹,或者该文件夹不在网站文件/文件夹集中,则不存在有效的 URL。但是,可以直接使用该文件夹并使用后面的代码命中 - 后面的代码中允许任何有效的服务器路径/文件夹名称。
因为在流式传输文件时,您需要路径名、文件名以及“我的”类型。幸运的是,.net 4.5 或更高版本具有此功能。
因此,从数据库(表)中,我显示文件名如下:
但是,如果您点击预览图片,那是一个图片按钮。
背后的代码只是从数据库中获取/抓取文件名。
然后我将文件下载(流)到浏览器端,如下所示:
if (File.Exists(strInternalFullPath))
{
string strConType = MimeMapping.GetMimeMapping(strInternalFullPath);
binFile = File.ReadAllBytes(strInternalFullPath);
Response.ContentType = strConType;
Response.AppendHeader("Content-Disposition","attachment; filename=" + Path.GetFileName(strWebUrl));
Response.BinaryWrite(binFile);
Response.End();
}
else
MyToast2(this,btnLink.ClientID.ToString,"File Not found","We no longer have this file avaiable.");
所以,这个按钮的行为 100% 就像一个链接,但没有现有的 URL 或路径名从基于 Web 的 URL 指向文件夹。
记住:
基于网络的 URL - 它们自动从网站 URL 映射到现有文件夹。
您可以使用 server.MapPath("some url to file") 将其“翻译”为内部文件名。
基于代码的文件:
在您的 .net 代码(代码隐藏)中,ANY 文件名是标准平面,jane 文件名指向服务器上的文件。
因此,一旦我们从数据库中获得了该文件名,您就可以像用户单击链接一样发送文件。但是您永远不必公开实际的文件名或文件路径。并且网站上不存在此类有效 URL,因为您在网站文件夹层次结构中没有该文件夹 - 而是将该文件夹放置在网站之外。
只要那个文件夹在 web 文件夹之外,并且只要你没有设置一个指向 web 文件夹之外的那个文件夹的虚拟文件夹?
然后后面的代码仍然可以获取/抓取/查看/使用服务器上的任何文件。该代码使用完整的有效 Windows 文件名,但该网站不会映射到此类文件夹 - 因此将不存在或可以输入有效 URL。