繞過控制器身份驗證

Question

我目前正在為登錄用戶編寫一次共享功能，以將一次鏈接發送給其他人（沒有先前的用戶帳戶）。

目前，我有一個基本控制器，該控制器驗證用戶/密碼憑證並處理身份驗證，並且我的所有控制器都從該基本控制器擴展 。

為了處理一次分享，我：

• 產生一個唯一的ID
• 在數據庫中插入ID，並將日期字段設置為NULL
• 向用戶發送指向唯一ID作為參數的控制器的鏈接
• 當訪問鏈接時，如果存在唯一ID，並且日期為NULL，則向用戶顯示正確的視圖，並將日期字段設置為當時發生的任何TIMESTAMP。

這有效，但是...

我有另一個控制器（ / media ），其任務是從安全路徑中檢索圖像，並將其輸出為圖像。 在一次性視圖中，我正在像訪問圖像：

<img src="/media/image-id" />

由於該控制器是從處理登錄的基本控制器擴展的，因此沒有帳戶的一次性用戶將被拒絕訪問。

我不想失去這一級別的安全性，但是我需要一種方法來允許用戶一次訪問內容。

• 為了避開一次性用戶的控制器安全性，我應該采取什么方法？

感謝您的見識！

S.

Answer 1

不了解您如何組織基本控制器或從其擴展的控制器，很難說。 我們真正能做的就是猜測。 您是否嘗試過進行臨時會話以允許用戶向基本控制器進行身份驗證？ 我的意思是，建立一個基於鏈接是什么來限制他們訪問的會話？ 這樣，您的安全系統仍在使用中，而您無需進行任何黑客工作。