.htaccess — Защита папки с использованием .htpasswd, но разрешающая загрузка php при защите пароля.
У меня есть защищенная паролем папка с использованием .htpasswd и .htaccess, которая содержит цифровые активы, которые я хочу контролировать загрузку с использованием php.
Я планировал предложить ссылку для скачивания, используя механизм:
Http: // имя пользователя: password@www.website.com/directory/
Однако я не хочу, чтобы люди имели доступ к имени пользователя и паролю. Другими словами, я хочу создать файл шлюза php с другим URL-адресом, который решает предлагать загрузку или нет, основываясь на информации, доступной в базе данных.
Это вопрос безопасности, поэтому я не уверен, с чего начать. Я уверен, что мог бы собрать вместе немного кода, но я не уверен в этом. Как я могу сделать это безопасно? Любая помощь с благодарностью.
Решение
Если у вас есть техническая возможность, я бы посоветовал вам даже хранить ресурсы вне папок, доступных через Интернет, поэтому вам не нужно полагаться на htaccess для защиты. Таким образом, ваш скрипт PHP-шлюза является единственным способом доступа к этим файлам.
Я не буду вдаваться в подробности о написании самого сценария, есть множество способов сделать это, и это очень сильно зависит от ваших требований, что лучше, поэтому потребуется больше информации, чтобы дать некоторые советы по этому поводу. Если ваши ресурсы очень большие, то потоковая передача их через ваш скрипт может не работать из-за ограничений памяти / времени, в этом случае вы можете символически связать их из безопасного местоположения с публичным местоположением со случайно хешированным путем / именем файла в течение ограниченного времени и дать эту ссылку.
Другие решения
Других решений пока нет …