停止未经授权用户的文档下载

Question

我有一个应用程序，其中管理员用户可以创建用户和上传文件到服务器为创建的用户下载。

上传文件时，它会使用用户in作为文件夹名创建一个文件夹，并将其保存在名为documents的文件夹中，例如~documents/77b29079-43d6-4520-bc34-77ae2af1b131/documentname.xls

然后，客户端必须登录，并且只能看到该用户的可用文档列表。唯一的问题是，如果有人要获取某个文档的某个urls，则无需登录即可下载。

我能做些什么来停止对这些文件的访问吗？我尝试将web.config文件编辑为只允许访问某些角色，但我仍然可以在不登录的情况下下载文档。

<location path="documents">
    <system.web>
        <authorization>
            <allow roles="Admin, Client"/>
            <deny users="*"/>
        </authorization>
    </system.web>
</location>

谢谢你的帮助。J.

Answer 1

@rlb.usa在注释中提供的链接有两个很好的方法。另一种选择是将文档存储在数据库中，并使用应用程序代码或数据库安全性来确定谁有权访问什么内容。当然，这也带来了一系列不同的问题和优势。如果您使用的是SQL Server，this会一针见血地指出一些利弊。