Tham gia Đăng nhập
Điểm:0
Jewel Chakraborty avatar Drupal

Làm cách nào chúng tôi có thể hạn chế quyền truy cập tệp trong thư mục chung từ người dùng ẩn danh?

lá cờ us
Jewel Chakraborty

Trong dự án của tôi, tôi đang sử dụng Drupal không đầu với .Net ở giao diện người dùng.

Tôi phải sử dụng hệ thống tệp được mã hóa cho các yêu cầu của dự án. Tôi đang mã hóa các tệp, sau đó giải mã bằng mã thông báo oauth và lưu trữ chúng trong thư mục chung để ứng dụng .Net có thể lấy tệp dưới dạng phản hồi API. Nhưng vấn đề bắt đầu từ đây. Vì các tệp này nằm trong thư mục chung, nếu người dùng đăng nhập vào trang web rồi sao chép url này và dán vào trình duyệt khác, anh ta có thể dễ dàng xem tệp đó. Nhưng đây không phải là yêu cầu mong muốn và nó tạo ra một lỗ hổng bảo mật lớn. Vì vậy, câu hỏi của tôi là làm cách nào chúng tôi có thể hạn chế các tệp công khai bị người dùng ẩn danh truy cập?

143
0 + 0
lá cờ cn
Clive
_làm cách nào chúng ta có thể hạn chế người dùng ẩn danh truy cập các tệp công khai?_ Bạn không thể, không phải ở cuối Drupal. Thiết lập máy chủ web tiêu chuẩn cho Drupal sẽ phục vụ các tệp tĩnh nếu chúng tồn tại và bỏ qua Drupal (vì lý do hiệu suất rõ ràng). Drupal có hệ thống tệp riêng cho chính xác trường hợp sử dụng này, nhưng bạn sẽ cần xác thực các yêu cầu từ giao diện người dùng của mình tới Drupal để sử dụng nó. Bạn có thể dễ dàng thực hiện việc này bằng cách đăng nhập qua điểm cuối REST và sử dụng thông tin phiên/mã thông báo mà bạn nhận được từ điểm cuối đó cho các yêu cầu tiếp theo.
0
Hồi đáp
Điểm:1
avatar Drupal
lá cờ us
David Thomas

Drupal cung cấp chế độ hệ thống tệp riêng cho các tệp ( https://www.drupal.org/docs/8/core/modules/file/overview#s-managing-file-locations-and-access ) cho phép hạn chế quyền truy cập thông qua hook_file_download ( https://api.drupal.org/api/drupal/core%21lib%21Drupal%21Core%21File%21file.api.php/function/hook_file_download/8.9.x )

Nếu bạn không thể sử dụng chế độ hệ thống tệp riêng tư để lưu trữ thì bạn sẽ cần hạn chế quyền truy cập trong máy chủ web của mình, chẳng hạn như nginx.

0 + 0
Jewel Chakraborty avatar
lá cờ us
Jewel Chakraborty
Tôi cũng đã thử với các hệ thống tệp riêng tư, nhưng tôi không thể nhận được phản hồi từ .Net end vì các tệp này là riêng tư. Có cách nào để nhận các tệp này dưới dạng phản hồi từ .Net end không? Để biết thêm thông tin chi tiết, hãy tham khảo liên kết này một lần- "https://drupal.stackexchange.com/questions/307514/how-can-the-custom-files-copied-by-code-to-the-private-directory-be -có thể truy cập-t/307599#307599"
0
Hồi đáp
Jewel Chakraborty avatar
lá cờ us
Jewel Chakraborty
Tôi đã cố gắng hạn chế quyền truy cập trong máy chủ web, nhưng trong trường hợp đó, tôi cũng phải bỏ qua xác thực đó từ đầu .Net để nhận phản hồi API. Một lần nữa, tôi sẽ phải gửi tên người dùng và mật khẩu được nối với url để bỏ qua xác thực cấp máy chủ này. Tin tặc có thể lấy mật khẩu tên người dùng đó bằng cách kiểm tra trang web, điều này lại dẫn đến vi phạm bảo mật.
0
Hồi đáp
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.