PHP/Apache 中的图像显示权限

Question

我有一个带有登录系统的 PHP 站点，并且正在尝试创建一个功能，只有特定的用户名才能查看特定的图像。我认为我想做的不仅仅是更改 .htaccess 文件，因为 a) 这无助于区分允许/不允许查看图像的用户，b) 如果有人输入图像的确切 URL ("directory/images/photos/230ru0q0238rn230nd_asdi0nqn8.jpg") 他们仍然可以查看图像（因为它是目录中的物理文件，而不是数据库中的文本等）。 ）。同样，通过 .htaccess 进行限制会限制整个目录或其中的所有文件，因此我无法弄清楚它是如何工作的。理想情况下，所有图像都会通过尝试通过其直接 URL 直接访问而被阻止，并且如果用户的会话/用户名有效，则图像只会出现在 标记之间，否则他们会得到一个错误信息。

我听说过 ACL 这个术语，但我不确定这是否与我想做的事情相关。

Answer 1

授权和 ACL 方案可能会有所不同，但要实现您问题的基本目标：

• 将图像放在 PHP 仍可以读取的不可通过 Web 访问的目录中。
• 使用 .htaccess 重写对脚本的所有请求（这可能会消除前面的步骤，假设它拒绝对文件的任何直接访问）。
• 确认请求用户可以查看请求的图像。
• 使用 readfile() （或各种其他函数）输出图像。

Answer 2

您可以做的是创建一个简单的上下文，它将图像作为流输出。输出的图像取决于 id（或某些标识符），例如：

viewImages.php?imageId=234643

viewImages.php 检查用户是否已登录/授权（最有可能通过 $_SESSION），如果是，则可能使用 < a href="http://php.net/manual/en/function.readfile.php" rel="nofollow noreferrer">readfile。