我一直在試圖找到這個問題的答案現在幾個小時,但還沒有設法得出一個決定性的答案。我希望這裏有人能夠闡明我的問題。考慮下面的實施例AWS S3 URL:在Web應用程序中暴露AWS S3簽名的URL?
以我具體例如,URL是到S3其中我在一個HTML img標記直接暴露觀看圖像的請求,並且在AMZ用戶-Credential具有讀取和寫入權限。該網址也設置爲在10分鐘內過期。
是否可以直接通過此URL鏈接到圖像,或者有可能在這10分鐘內,來自此URL的簽名可用於惡意製作的REST請求中,以刪除或修改圖像,而不是觀看它?
我懷疑不同的動作會有不同的簽名,這使得這個不可能,但鑑於我對AWS auth的理解非常有限,我認爲最好問一下以防萬一。
我知道我可以創建一個只讀用戶(額外的複雜性)或隱藏S3 URL後面我自己的web應用程序的控制器操作(需要2個總請求加載每個圖像,使之成爲低效率的),但我會而是要求在採取這些措施之前,先了解我目前的方法是否安全。
謝謝你的時間。 :)