保护 ASP.NET 中的单个文件

Question

我有一个场景，用户可以访问一次性网址。 当用户单击 URL 时，该用户将可以使用特定文件。

我在网站上有很多文件，但只希望该用户可以访问某些文件。

我虽然有关于生成经过身份验证的 cookie 并使用基于表单的身份验证并对某个文件夹应用权限，但我需要对单个文件进行授权。并且文件会不断变化。

只允许用户访问特定文件的最佳方法是什么？ （我不会显示其他文件，但我仍然不希望其他文件在 URL 中输入时可用）

Answer 1

我将创建一个 .ashx （处理程序文件），并将文件提供给用户（加载到内存中，然后通过将文件推送到内容流来写出内容）。这样，最终用户永远没有系统上实际文件的权限，但仍然可以访问它们。然后，您的代码可以控制每个文件可供用户使用的时间和时长。

Answer 2

我将提供有关实际文件检索的抽象。这样用户就永远看不到文件名。像 www.example.com/File.aspx?id=SOMERANDOMGUID

这样的 RANDOMGUID 可以引用后端的文件。

Answer 3

如果您有大量磁盘空间，实现此目的的一种方法是将文件复制到随机生成的文件夹，以便每个用户的用户文件的 URL 都是唯一的。

Answer 4

我认为如果您的文件与 ID 相关联并且路径保存在数据库中会更容易。这样您就可以使用 ID 提取文件。