Wpis z mikrobloga

Skopiuj link

18.11.2022, 15:14:22

Mireczki #python #django w jaki sposób mogę zabezpieczyć przed pobraniem np. zdjęcia w django? Mam dekoratory dla zalogowanych osób i chcę też aby dostęp np. do pdf lub grafik mieli tylko zalogowani. Macie jakiś przykład ?

filozof900

18.11.2022, 16:05:10

@hocuspocus: to zależy, najłatwiejszy ale mało wydajny sposób to po prostu stworzenie widoku do którego dostęp mają tylko zalogowani użytkownicy i zwracanie HttpResponse z zawartością pliku, z odpowiednim content type. Jeżeli jednak plików ma być więcej, można wtedy użyć np x-accel dla nginx

daczka92

18.11.2022, 16:37:08 via Wykop Mobilny (Android)

@hocuspocus: pdf to mozna zrobic na guziku sprawdzenie czy zalogowany tak jak sie robi z widokami. Grafiki tez chyba ze chcesz zeby nie mozna było kliknac prawym i zapisz. Ale to chyba tez na froncie do ogarnięcia

hocuspocus

18.11.2022, 17:07:20

@daczka92: chodzi o to, że jak już mam URL to żeby nikt kto nie jest zalogowany nie mógł otworzyć tego. Tak aby była pewność, że jak ktoś komuś to prześle to bez zalogowania nie otworzy.

scorpio18k

18.11.2022, 17:18:15

chodzi o to, że jak już mam URL to żeby nikt kto nie jest zalogowany nie mógł otworzyć tego

@hocuspocus: Chyba chodzi o https://docs.djangoproject.com/en/4.1/topics/auth/default/#auth-web-requests

hocuspocus

18.11.2022, 17:26:27

@scorpio18k: autoryzację z dostępem do podstron mam ogarniętą. Jedynie potrzebuję sprawdzić w jaki sposób ograniczyć dostęp do statycznych plików (jpg/pdf)

hocuspocus

18.11.2022, 17:34:25

Coś wymyśliłem:

@login_required(loginurl='login')
def getPDF(request):
return HttpResponse('dummy.pdf', contenttype='application/pdf')

RobotKuchenny9000

20.11.2022, 12:16:32

chodzi o to, że jak już mam URL to żeby nikt kto nie jest zalogowany nie mógł otworzyć tego. Tak aby była pewność, że jak ktoś komuś to prześle to bez zalogowania nie otworzy.

@hocuspocus: To czego szukasz to signed url. Dla każdego zalogowane użytkownika potrzebujesz wygenerować tymczasowy url który jest walidny tam X czasu. Jest to najpowszechniejsza metoda jeśli operujesz na plikach które trzymasz w zewnętrznym storage. Obudowywanie tego

hocuspocus

20.11.2022, 13:12:38 via Android

Komentarz usunięty przez autora

hocuspocus

20.11.2022, 13:52:27 via Android

@RobotKuchenny9000 @RobotKuchenny9000 ja rozumiem, że można pobrać i wysłać wtedy to już celowe działanie osoby a nie niejako źle zabezpieczone dane na serwerze które można pobrać brutalforce na url

Więc chcę przepuścić zawartość przez widok aby było pewne, że osoba pobierająca plik jest zalogowana. Docelowo będę chciał jeszcze wstawić ślad w plik informujący o koncie jakie było zalogowane. (Wiem, że wszystko można później czyścić ale to wiąże się z dodatkowymi