gpt4 book ai didi

laravel - 我获得了客户端中间件,但如何保护 S3 上的用户资源?

转载 作者:行者123 更新时间:2023-12-02 16:36:03 25 4
gpt4 key购买 nike

我获得了客户端中间件 - 但我不希望出现用户意外或恶意删除其他用户的资源的情况。

如何保护 S3 上的资源,以便用户只能删除自己的资源,而不能删除任何其他用户的资源?

非常感谢

最佳答案

I don't want a situation where a user accidentally or maliciously deletes the resources of other users

当您设置 S3 存储桶时,您可以配置任何人对您的存储桶资源拥有的权限。如果我没记错的话,默认情况下所有内容都被视为“私有(private)”。

您还需要做的是配置 IAM User并授予他访问权限(通过 Policy ),让他在您的存储桶中读取和写入数据。如果你做得正确,只有这个用户可以做重要的事情:写。所有这些资源“写入”(创建/更新/删除)都需要使用用户 key / secret 凭证代表该“IAM 用户”在您的服务器上完成。

这使您成为在 S3 中进行更改的唯一方法。通过此设置,即使您的恶意用户知道您的存储桶的路径,您的资源也将受到保护,因为这些用户最多只有“读取”访问权限。

推荐您关注this article (或 this 一个,如果您懂西类牙语的话)作为设置 S3 存储桶的指南。

<小时/>

作为对其他问题的回应:

How can I secure resources on S3 so that a user can only delete their resources and not the resources of any other user?

所有这些操作都需要在您的服务器中处理,以确保完整性/安全性。您的用户无需直接访问您的资源即可对其进行修改。

也许你的问题是这样的:

如果系统具有如下所示的端点,如果巨魔用户想要更改其他人的个人资料图片怎么办?:

POST /users/{id}/update-photo

在这种情况下,您可以让恶意用户(假设用户 id 等于 10)访问其他人的资源:

/**
* he/she could do this:
*/
POST /users/23/update-photo // <-- id=23
/**
* instead of:
*/
POST /users/10/update-photo // <-- id=10

如何避免这种情况?具有身份验证检查和路由“屏蔽”。

/**
* Instead of this:
*/
POST /users/23/update-photo // <-- user id=23
/**
* Try this kind of endpoint:
*/
POST /profile/update-photo // <-- note that we disabled the ability to specify a user id

如何识别用户?如果是通过 token 的 API,如果是通过 session 的 Web 调用。在此示例中,要识别用户,请执行以下操作:

public function updatePhoto(Request $request)
{
$user = auth()->user(); // <-- now we ensure the user is id=10

// the rest of the code..
}

当然,我只是假设这是您关心的问题之一,但这是一个简单的示例,说明如何在服务器端实现这种验证以确保保护您的资源。

关于laravel - 我获得了客户端中间件,但如何保护 S3 上的用户资源?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/52683482/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com