我正在编写一个 java ee 应用程序,它有自己的用户和角色存储库(基于 Spring Security Framework)。在应用程序中,一些用户上传大文件。
我希望这些文件受到保护(即只有上传文件的人才有权访问它;实际上授权逻辑比这要复杂一些)。我的用户没有任何 aws 帐户。
我想将这些文件存储在 S3 上,但我还没有找到安全的方法。事实上,我还没有找到一种方法来表达引用我的用户和角色的 ACL。
我考虑过为我的文件生成不透明的名称(这很难猜到)。我的 java ee 应用程序可以确保对包含文件链接的网页的访问受到保护。某种程度的保护,但对于蛮力攻击它似乎很脆弱。
任何想法?