मैं अब कुछ घंटों के लिए इस प्रश्न का उत्तर खोजने का प्रयास कर रहा हूं, लेकिन एक निर्णायक उत्तर के साथ आने में कामयाब नहीं रहा हूं। मुझे उम्मीद है कि यहां कोई व्यक्ति मेरे प्रश्न पर कुछ प्रकाश डालने में सक्षम होगा। निम्नलिखित उदाहरण एडब्ल्यूएस S3 यूआरएल पर विचार करें:वेब ऐप में एडब्ल्यूएस एस 3 हस्ताक्षरित यूआरएल का खुलासा?
मेरी विशिष्ट उदाहरण में, ऊपर URL S3 जो मैं एक HTML img टैग में सीधे उजागर कर रहा हूँ पर एक छवि को देखने के लिए एक अनुरोध है, और Amz में उपयोगकर्ता है - प्रमाण पत्र दोनों पढ़ने और लिखने की अनुमति है। यूआरएल 10 मिनट में समाप्त होने के लिए भी सेट है।
सीधे इस यूआरएल के माध्यम से छवि से लिंक करना सुरक्षित है, या क्या इस संभावना है कि इन 10 मिनटों में, इस यूआरएल के हस्ताक्षर को दुर्भावनापूर्ण रूप से तैयार किए गए आरईएसटी अनुरोध में छवि को हटाने या संशोधित करने के लिए इस्तेमाल किया जा सकता है इसे देख रहे हो?
मुझे संदेह है कि एक अलग कार्रवाई के लिए यह असंभव बनाने के लिए एक अलग हस्ताक्षर होगा, लेकिन एडब्ल्यूएस ऑथ की मेरी सीमित समझ को देखते हुए, मैंने सोचा कि बस मामले में पूछना बेहतर होगा।
मुझे पता है कि मैं केवल अपने पढ़ने वाले उपयोगकर्ता (अतिरिक्त जटिलता) बना सकता हूं या अपने स्वयं के वेब ऐप पर नियंत्रक कार्रवाई के पीछे एस 3 यूआरएल को छुपा सकता हूं (प्रत्येक छवि को लोड करने के लिए 2 कुल अनुरोधों की आवश्यकता होती है, इसे अक्षम कर देता है), लेकिन मैं चाहता हूं बल्कि सीखें कि मेरा वर्तमान दृष्टिकोण सुरक्षित है या इनमें से किसी एक का उपयोग करने से पहले नहीं।
आपके समय के लिए कृपया धन्यवाद। :)