我可以限制未经身份验证的用户访问 _all_docs 吗？

Question

我希望人们能够使用带有随机 ID 的链接私下共享文档，就像我将私人链接发布到 Pastebin 后得到的那样。我想总体了解 CouchDB 和 Cloudant。

Answer 1

对于 Apache CouchDB，读取权限是针对每个数据库的，而不是针对每个文档。如果用户可以从数据库中获取文档，则用户也可以获取 _all_docs?include_docs=true。

我在这个问题中写了关于CouchDB读取授权的详细信息。

有几种方法：

1. 第 7 层防火墙或反向 HTTP 代理。这很难正确地做到； IMO 对大多数人来说不可行。您必须非常熟悉 CouchDB 的 API，以确保阻止每个可能的查询（例如，_rewrite 绕过您的过滤器）。

2. 每个用户一个数据库。这是CouchDB 的原生解决方案。创建数据库非常便宜。然后，将用户可以看到的文档复制到他或她的数据库中。用户需要 Couch 上的密码或 OAuth 帐户。

3. 我最近在每用户数据库方面取得了成功，但 URL 中还有一个唯一的密钥，可以让他们立即访问。这感觉就像你想要的东西，但在幕后我只是用随机密码创建一次性帐户。该链接会转到公共页面，例如 www.example.com/pastebin/index.html?doc_id=some_docid&secret=random_secret。然后浏览器上的 Javscript 将读取 window.location 并将该密码插入到 AJAX 查询中（在授权标头中）。沙发授予许可，用户很高兴。不幸的是，这需要一些尝试和错误。不过，这主要是简单的 Web 编程。