Как добавить добавить токен для авторизованного пользователя?

Question

[lil_koi]

пишу апи и при создании запроса добавляют токен в запрос в Authorization. Появился функционал скачки файла при клике на ссылку, отдаётся файл. Этот функционал доступен только авторизованным пользователям, но откуда заголовок появится при клике по ссылке? Что делать в таких ситуациях?

Comments

[Сергей delphinpro]

если файл доступен только авторизованному пользователю, то он не должен лежать в открытом доступе. иначе по прямой ссылке его скачает кто-угодно.
файлы лежат в приватном хранилище и отдаются на скачивания средствами php, в данном случае Laravel. В ссылку пишется роут для скачивания. Контроллер обрабатывает любые условия и либо отдает файл на скачку, либо 404/403.

Route::get('private/{file}', SomeController::class)->name('private-link');

<a href="{{ route('private-link', $file_id) }}">

[lil_koi]

Сергей delphinpro, у меня файл не лежит в открытом доступе, я со стороны laravel делаю запрос на его получение и отдаю пользователю. В этом и беда

Answer 1

[ThunderCat]

В вашем случае есть несколько способов, различных по реализации.
1) Самый простой - не использовать токен в заголовке, а переслать его как пост параметр, соответственно линк будет по сути формой (точнее ее кнопкой субмит). На сервере соответственно проверяете токен вручную из пост запроса, обратно отдаете собсно поток файла, предварив его соответствующими заголовками, что-то типа

header("Cache-Control: public");
    header("Content-Description: File Transfer");
    header("Content-Disposition: attachment; filename=somefile.ext");
    header("Content-Transfer-Encoding: binary");
    header("Content-Type: binary/octet-stream");
    readfile($filePath);

2) Если принципиально хочется через мидлвэйр ловить токен и больше не заморачиваться, то фетч - задаем заголовки с токеном. На сервере отдаем файл, на клиенте ловим как блоб, делаем из блоба урл, и на скрытый линк с этим урл делаем клик. Типа как тут.

3) Так же через фетч отдаем заголовки, на сервере формируем временный разовый линк с каким-нибудь хитрым хэшем, обратно возвращаем этот линк, далее в колбэке делаем window.location = хитрый_линк, и с сервера с заголовками из первого варианта отдаем файл, - вуаля, получаем диалог сохранения. Беда как и в первом случае с отсутствием заголовков во втором запросе с хитрым линком, то есть те же яйца, вид сбоку... Единственно что тут можно прописать урл скачивания как публичный, и быть уверенным что линк точно получен авторизованным пользователем.

Comments

[lil_koi]

короче, решил отправить токен, как гет параметр и обработать в middleware. Код ниже, кому интересно. Поставлю ваш ответ, как верный. Спасибо

<?php

namespace App\Http\Middleware;

use Closure;
use Illuminate\Http\Request;
use Symfony\Component\HttpFoundation\Response;
use Illuminate\Support\Facades\Auth;
use Tymon\JWTAuth\Facades\JWTAuth;

class AddCustomHeaders
{
    /**
     * Handle an incoming request.
     *
     * @param  \Closure(\Illuminate\Http\Request): (\Symfony\Component\HttpFoundation\Response)  $next
     */
    public function handle(Request $request, Closure $next)
    {
        $request->headers->add([
            'Accept' => 'application/json',
            'Content-Type' => 'application/x-www-form-urlencoded',
        ]);
        if ($request->token) {
            $request->headers->add([
                'Authorization' => $request->token,
            ]);
        }
        return $next($request);
    }
}