保护以用户为中心的资源(例如他们的图像)

Question

我需要使用Spring安全保护用户资源文件(如视频/图像等)，以便只有上传这些文件的用户才能访问它们。

考虑到可伸缩性，是不是更好

1)编写我自己的"UserResourceServlet“并检查请求的每个资源文件的安全上下文？

2)编写一个servlet过滤器，当用户试图通过tomcat默认servlet访问特定资源(例如http://my.domain/images/user……)时，该过滤器将验证用户。

3)另一种方法？理想情况下，我希望Apache处理静态文件，因为我觉得如果我有一个servlet来管理可能超过1000个资源文件的下载，每个资源文件可能超过200万兆，那么它可能会很密集。

我希望这是一个可扩展的选项，所以我不喜欢1，也不知道2是不是可行的开放，如果是，正确的方法是什么？有什么好的想法吗？

身份验证需要由Spring安全管理..

谢谢,

伊恩。

Answer 1

您可以使用选项2，但稍作更改-在筛选器决定授予用户对资源的访问权限后，可以将请求转发到负责提供实际内容(来自网络外部的请求无法访问)的另一个应用程序(在您的情况下是Apache)。