我需要向登录的用户提供静态内容(主要是图像),但是这些图像不能公开。
有针对客户端的基本JWT授权。这些客户端具有图像,但是这些图像必须是私有的(只有拥有它们的用户才能访问它们)。
我的图像由第二个Node.js服务器提供,其工作方式类似于CDN(缓存,无标题等)
我曾考虑过以如下方式通过URL发送我的JWT:http://static.example.com/image.jpg?token=jwtjwtjwtkwtjwt,但是我的JWT很长,而且不安全,因为如果用户共享URL来镜像,他也会共享他的JWT。
允许标题并在标题中发送令牌...
或在用户验证后为您的图像创建动态URL,并具有一定的URL寿命(1小时等)。样本:http://static.example.com/njafhiwe4ihyubwfejw代替http://static.example.com/image.jpg。
加载图像时,您可以在请求标题中传递令牌。
如果上述方法对您不起作用,那么您可以创建一个api,该api获取您的令牌和目标文件,并返回一个寿命短的URL来访问该文件。