Security 如何保护S3下载的用户敏感数据?
假设我们有一个用于电子书购物的web应用程序,用户只能下载他们付费的书籍。所有这些电子书数据(如epub数据)都存储在S3中,当我们的应用程序验证用户已经购买了一本书时,用户将获得S3下载url 我知道S3将为用户生成一个临时的、有时间限制的URL。但问题是,即使url是临时的且有时间限制的,如果有机会其他用户在有限的时间内获得临时url,会发生什么 好的,一种方法似乎是让有限的时间非常短,比如10秒,但潜在的风险仍然存在Security 如何保护S3下载的用户敏感数据?,security,amazon-s3,Security,Amazon S3,假设我们有一个用于电子书购物的web应用程序,用户只能下载他们付费的书籍。所有这些电子书数据(如epub数据)都存储在S3中,当我们的应用程序验证用户已经购买了一本书时,用户将获得S3下载url 我知道S3将为用户生成一个临时的、有时间限制的URL。但问题是,即使url是临时的且有时间限制的,如果有机会其他用户在有限的时间内获得临时url,会发生什么 好的,一种方法似乎是让有限的时间非常短,比如10秒,但潜在的风险仍然存在 我知道这个问题很严格,你会怎么处理?还是忘了它?如果担心买家会分发URL
我知道这个问题很严格,你会怎么处理?还是忘了它?如果担心买家会分发URL,他们也可以同样好地分发他们下载的文件 如果担心有人会在买家不知情的情况下获得URL,那么您可以使用只有买家知道的令牌(例如某种密码)来保护下载。这将使URL对买家以外的任何人都不可用。缺点是,这会给为你的产品付费的人带来不便