Bảo mật liên kết tải xuống trong Symfony 2

Question

Trong dự án Symfony 2 của tôi, tôi có một trang hiển thị thông tin về một thực thể. Trên trang này cũng có một liên kết đến một tập tin liên quan đến thực thể này.

Trang được bảo mật và trang này chỉ có thể được hiển thị nếu người dùng là vai trò cụ thể. Vai trò dự kiến ​​là không giống nhau đối với mọi thực thể nên nó được kiểm tra động lực trong Hành động.

Vấn đề của tôi là ngay cả khi trang được bảo mật, bất kỳ ai cũng có thể truy cập tệp thông qua URL của trang. Tôi muốn nó có thể tải xuống chỉ khi vai trò khớp với vai trò để hiển thị trang.

Bất kỳ đề xuất nào về cách tôi nên thực hiện hoặc bắt đầu tìm kiếm ở đâu?

Answer 1

Di chuyển tệp ra ngoài thư mục công khai để không thể truy cập tệp qua URL. Trong bộ điều khiển nếu người dùng có quyền chính xác thì cho phép người dùng tải xuống tệp.

Bạn có thể sử dụng trong điều khiển của bạn:

$headers = array('Content-Type'  => 'application/pdf', 
       'Content-Disposition' => 'inline; filename="file1.pdf"'); 

return new Response(file_get_contents($file), 200, $headers);