防止通過瀏覽器直接訪問圖像/pdf,但只允許通過 android 應用程序訪問
[英]Prevent direct access to images/pdfs through browser but only allow access through android app
問題描述
我正在嘗試在存儲在 Web 服務器上的 Android 應用程序中顯示圖像。 圖像不應通過網絡瀏覽器中的直接鏈接提供。 圖像名稱是隨機生成的哈希字符串。 它應該只能在 Android 應用程序中訪問。
是否有必要保護圖像免於通過網絡瀏覽器或除 Android 應用程序之外的其他訪問進行訪問? 我做了一些研究,但沒有找到好的解決方案。
1 個解決方案
解決方案1
0 2021-10-29 04:51:07
你可以讓它稍微難一點,你不能讓它變得不可能。 最后,沒有辦法知道傳入的請求是否真的來自特定的應用程序,或者它是否來自偽裝成特定應用程序的東西。 兩人長得一模一樣。 但是,您可以做兩件事:
1)您可以確保它是由授權用戶發送的。 基本上,用戶有一些他告訴服務器的秘密,服務器檢查該秘密是否有效,如果是,則允許訪問(如果不是,則返回 404 或其他一些錯誤)。 這是您的基本登錄類型系統(確切的實現往往涉及更多,我正在簡化)。 但是如果你這樣做,你就不能確定它不是通過應用程序或通過網絡瀏覽器或像 curl 這樣的工具訪問的帳戶的人。 你只知道這個人有權限。
2)您可以將該秘密放入應用程序本身,並將其作為每個請求的標頭發送。 這很容易被黑客入侵以獲取秘密,但 99% 的人不會費心。 對於任何想要一個熟練的黑客需要 10 分鍾才能破解的數據的人來說,這是一個減速帶。
這些都不做你想做的。 #2 的優勢在於無需太多努力即可阻止隨意的網絡爬蟲。 #1 的優勢在於可以將其實際保護給授權的個人。 根據您的需要,可以是“嗯,足夠好”類型的解決方案。
如何防止Android應用程序中使用的文件的直接URL訪問?
[英]How to prevent direct URL access of a file which is used in an Android app?
程序在JavaScript中拋出“ Access-Control-Allow-Origin”標頭? 在Postman中工作,而不是通過瀏覽器工作
[英]Program throws 'Access-Control-Allow-Origin' header in JavaScript? Works in Postman, not through browser
不允許直接調用微服務。 僅允許通過 API 網關
[英]Don't allow direct calls to Microservices. Only allow through API Gateway
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.