如何保护高流量网站的会员照片

Question

在实际项目（约会网站）上，我有以下场景：

成员可以上传照片（主要个人资料）并创建相册并向其分配照片。现在会员可以选择只允许注册会员、高级会员或收藏夹会员访问该相册。

最简单的解决方案是隐藏相册，但如果有权访问的人将 src url 发布到照片，则每个拥有该 url 的人都可以访问该相册。

我看到 flickr 和 facebook 以一种很好的方式保护它们，但是我如何实现它而不需要多次查询数据库并复制用户身份验证/会话。照片将存储在自己的服务器（varnish/nginx）上。

有谁知道如何在高流量和使用尽可能少的资源的情况下做到这一点？

该解决方案需要能够处理实际的 2000 万会员和大约 3000 万张照片。

Answer 1

好吧，一种可能是运行 Lighttpd 的 mod_secdownload。

基本上，您在配置部分设置了一个“秘密”字符串。然后，当您生成链接时，它不是建立到资源的链接，而是一个临时链接（因此它仅在 $x 秒内有效）。这样，用户需要再次访问该页面（并因此再次通过访问控制）才能查看该图像...

Apache 有一个类似的模块： mod_auth_token...

Answer 2

最好的解决方案是将图像存储在服务器的网络可访问部分之外。然后，您可以引用指向图像的 php 页面，而不是直接引用照片，如下所示：

http://www.example.com/image.php?imageid=1234567

然后在您的 php 脚本中，您可以检查登录用户是否有权访问该照片，如果可以，您将流式传输该照片在响应中将图像输出给用户。

Answer 3

作为一个想法......

您可以创建一个映射表，在其中根据收藏夹、朋友等为用户->照片对“准备”访问权限。

然后根据这些权限返回图像，但按用户缓存。这将减轻服务器的压力，但由于缓存超时，应用限制会出现一些延迟。