在一个使用普通的基于cookie的身份验证的网站中,密码存储在cookie上,有没有一种方法只为已经登录的用户提供文件?
简短回答:不。
长话短说:您可以编写一个经过身份验证的应用程序,用户必须登录该应用程序,然后该应用程序管理用户访问给定文件的头等内容的编译。例如,如果你的用户需要下载PDF或其他东西,你可以发送PDF标题,然后发送二进制数据;他们将无法看到您正在提供的服务器上的文件。不利的一面是,这比从文件系统或CDN向他们推送文件要慢。
此外,不要将密码存储在cookie中。创建一个散列或可以再次访问和验证的东西,但cookie中的密码是个坏主意;那些家伙都是明文!