Как ограничить доступ к файлу по прямой ссылке?

Question

[Савелий]

Салют!

На Flask'e есть сайт site.ru , и есть папка static, в ней лежит img/userid в которой уже пользовательские картинки.

Так вот, есть знать userid, и название картинки, то можно ее посмотреть даже неавторизованному пользователю по адресу site.ru/img/userid/img.jpg
так же и с любыми другими файлами других папок в static.

У меня есть два варианта решения, но они какие то костыльные:

1)добавить между img и userid , какую нибудь папку типа "09410fd6-e764-4c6a-a9e1"
2)отдавать браузеру картинку в base64, но это не решить проблему с файлами

UPD
Картинки нужны для отображения в шаблоне .html, НО только определенным авторизованным пользователям у которых userid == userid(директории) .

Может есть нормальный способ?

Comments

[Антон Р.]

Поясни, в каком смысле "ограничить доступ к файлу по прямой ссылке"? Ведь на страницах потом эти аватарки и отображаются по прямым ссылкам. Ты можешь как-то ограничить контекст вывода картинки, то есть если картинка вызвана не в контексте какой то разрешенной страницы то запрет.

Сделай в папке img/userid корневой скрипт (index.php) который будет отдавать картинки, и чтобы все запросы на файлы были через него, типа одна точка входа ,и в нём уже прописывай условия.

[Савелий]

Дополнил описание проблемы.

Сделай в папке img/userid корневой скрипт (index.php)

Интересная идея, но это доп логика , которая потребует вызова внутри html скрипта из этого фала.
Подумаю над этим

[Антон Р.]

Савелий,

которая потребует вызова внутри html скрипта

- ну не в html а в контроллере видимо но да, по-другому проверку я не знаю как сделать.

Answer 1

[Валентин]

http_basic_auth или ssl auth
или X-Accell

Comments

[Антон Р.]

а если у него page.html и там надо показывать картинку?

[Савелий]

Антон Р., все верно, картинки нужны для отображения в шаблоне .html

[Валентин]

Савелий, Антон Р., если нужны в шаблоне, для них все равно нужна заглушка. Если 403 - показать заглушку, иначе - картинку.

[Савелий]

хм. а как это реализуется в flask / apache для файлов?)

[Антон Р.]

Савелий, думаю как-то так: https://stackoverflow.com/questions/30446569/htacc...
То есть с помощью .htaccess ты в принципе запрещаешь открывать любые файлы кроме корневого скрипта, а уже скрипт отдает картинки если uri страницы в белом списке.
Но у тебя питон же?

[Антон Р.]

Савелий, то есть например у тебя страница:

www.site.ru/page
Тогда uri будет /page
И в скрипте ты пишешь:

$uri; // текущий uri страницы
$allow; // разрешенный адрес
if($uri == $allow){
 $result = ImageDispatcher::giveImage($id); // Статический метод класса-диспетчера который отдает картинки и живет в index.php
}
else {
 $result = 'Доступ к файлу запрещен!';
}

Это на PHP.