使用Flask和亚马逊S3安全访问webassets

Question

我试图将文件(在本例中为图像)安全地提供给我的用户。我想使用flask和亚马逊s3来做到这一点，但是如果需要的话，我会对另一个云存储解决方案持开放态度。

我设法让我的flask静态文件，如css等，放在s3上，但这都是不安全的。这样每个有链接的人都可以打开静态文件。这显然不是我想要的安全内容。我似乎想不出如何才能使文件只对“拥有”该文件的认证用户可用。

例如:当我登录到我的dropbox帐户并复制一个随机文件的下载链接时。然后转到另一台计算机，并使用此链接，它将拒绝我访问。即使我仍然登录，并且下载链接对后一台pc上的用户可用。

Answer 1

向Flask应用程序发出请求，该应用程序将对用户进行身份验证，然后向S3对象发出重定向。诀窍在于，重定向应该指向一个已签名的临时URL，该URL将立即过期，这样它就不能被保存并在以后或其他人使用。

您可以使用您的Flask应用程序中的boto.s3.key.generate_url函数来创建临时网址。