您将如何实现私有镜像？

Question

我正在开发一个Android应用程序，它以某种方式拥有像Whatsapp这样的头像。如你所知，在WhatsApp中，你可以创建一个群组，并为它设置一个群组图片。

我没有任何问题的图像，保存等，我的问题是，我正在开发的网页服务在Symfony2 (PHP)，我想接收图像，并将其保存在服务器上的某个地方。但是，很明显，这些图像不是公开的，应该只对有权限的用户查看。我考虑过传统的方法:将图片保存在文件夹中，然后给出链接或不给链接，但这完全是很容易破解的。

伙计们，你们会怎么做呢？也许可以直接将二进制数据保存到MySql中？有什么干净利落的方法可以做到这一点吗？

任何建议都是值得感谢的。

谢谢。

Answer 1

另一种方法是将PHP调用的mime类型设置为图像。然后，调用像http://xxx/images.php?id=8989031289130这样的URL将返回一个图像，而不是一个HTML文件。

然后，您可以访问PHP安全上下文，并验证用户是否具有查看此文件的权限。

有关更多细节，请访问：Setting Mime type in PHP

Answer 2

这里的典型答案是使用一种排除猜测的文件命名方案。例如，您可以将文件名加上一个秘密盐，将它们散列在一起，并将散列附加到文件名(在扩展名之前)。因此，原本的/foo/bar/baz.jpg将变成/foo/bar/baz_8843d7f92416211de9ebb963ff4ce28125932878.jpg。

只要你的哈希盐仍然是秘密的，文件名或多或少受到数学上的保护，不会被随机或暴力破解。例如，这就是Facebook如何保护其用户图片的核心，而不必为每个图片请求实际要求身份验证(这根本没有很好的伸缩性)。