Как скрывать прямую ссылку?

Question

[yiii2]

Уже 3й день ломаю над этим голову...

Как реализовать вот такое site.ru/key/рабочая ссылка или site.ru/рабочая ссылка/key
В место site.ru/рабочая ссылка.

key одноразовый ключ на 5-10минут после потери активности "его я могу сделать"

Можно как-то иначе, но цель - избавится от уязвимости. Т.е что бы нельзя было вызвать файл на прямую или узнать где он лежит. Защита от брута. Вообще-то это защита админки. Заранее спасибо. Можно токен, но он менее надежен ??? Можно как тут, но тогда надо какой-то ключ или типо того делать"если авторизацию успешно прошли". Пожайлуста помогите, заранее большое спасибо.

Может я не в том направлении иду и горожу бред, гуру поставьте на верный путь. Токен спасет от такого ???

Answer 1

[Константин]

Я честно говоря суть вопроса не понял, но что вам мешает направить локейшн site.ru/storage/key/filename.ext на какой-то скрипт, который будет разбирать key и валидировать его по базе keys. key же будете сами генерировать кому надо и писать куда-то вместе с таймстампом и счётчиком запросов.

Comments

[yiii2]

Да я просто сам не знаю как эту логику сделать, поэтому и вопрос такой кривой... К примеру файлообменики. Там надо подождать, но не у всех. А потом появляется ссылка на скачивание того или иного файла. Если использовать ссылку 2й раз, то она будет не действительна. Это убирает шанс прямого вызова файла. У меня сейчас авторизация проходит по принципу: успешно прошел авторизацию, перенаправился в админку, если ошибка то еще раз. А потом уже блокируется на время. Хотя зачем я это делаю я уже не понимаю. Сори, спасибо за отклик)

Answer 2

[svd71]

Используй session id. И просто проверяй совпадает ли этот id из ссылки с значением текущего соеднения.

Comments

[yiii2]

Ну там не много по другому. Я возможно не много не правильно вопрос задал. Суть вопроса, как сделать "админку" в которую можно войти лишь раз, а после выхода ссылка не действительна, к примеру файлообменики. Там нельзя использовать одну и тужу ссылку 2 раза.

[svd71]

вот я и дал решение. ссылка действует, пока продолжается сессия этого пользователя. Как только он закрыл браузер, ссылка больше не действительна. При соединении с другого компьютера такая ссылка будет недоступна. При желании можно в базе сделать таблицу с такими номерами и временем окончания действия ссылки. Кроме того, что бы еще больше ввести в заблуждение, лучше полученный id обработать функцией md5.
Второй вариант: использовать данные клиента, например его ip. Так же обработать его md5 и получим уникальное значение, которое привязано к конкретному компьютеру в сети.

[yiii2]

Не по ip лучше не стоит... А так спасибо)

Answer 3

[yiii2]

Лучше поспать, чем пить энергетики и сидеть несколько суток... А то такой же бред и вас посетит. убьете время =(