আমি কৌণিকালে একটি ওয়েব অ্যাপ লিখছি যেখানে প্রমাণীকরণ একটি জেডাব্লুটি টোকেন দ্বারা পরিচালিত হয়, অর্থাত প্রতিটি অনুরোধে সমস্ত প্রয়োজনীয় তথ্য সহ একটি "প্রমাণীকরণ" শিরোনাম থাকে।

এটি আরএসটি কলগুলির জন্য দুর্দান্তভাবে কাজ করে, তবে আমি বুঝতে পারি না যে কিভাবে ব্যাকএন্ডে হোস্ট করা ফাইলগুলির জন্য ডাউনলোড লিঙ্কগুলি হ্যান্ডেল করা উচিত (ফাইলগুলি একই সার্ভারে থাকে যেখানে ওয়েবসার্চগুলি হোস্ট করা হয়)।

আমি নিয়মিত <a href='...'/>লিঙ্কগুলি ব্যবহার করতে পারি না কারণ তারা কোনও শিরোনাম বহন করে না এবং প্রমাণীকরণ ব্যর্থ হয়। বিভিন্ন incantation একই window.open(...)।

কিছু সমাধান যা আমি ভেবেছিলাম:

1. সার্ভারে একটি অস্থায়ী সুরক্ষিত ডাউনলোড লিঙ্ক তৈরি করুন
2. প্রমাণীকরণের তথ্যটি একটি url প্যারামিটার হিসাবে পাস করুন এবং ম্যানুয়ালি কেসটি হ্যান্ডেল করুন
3. এক্সএইচআর এর মাধ্যমে ডেটা পান এবং ফাইল ক্লায়েন্টের পাশে সংরক্ষণ করুন।

উপরের সমস্তটি সন্তোষজনক চেয়ে কম।

1 এখনই আমি সমাধানটি ব্যবহার করছি। আমি এটি দুটি কারণে পছন্দ করি না: প্রথমটি আদর্শ সুরক্ষা হিসাবে নয়, দ্বিতীয় এটি কাজ করে তবে বিশেষত সার্ভারে এটির জন্য প্রচুর পরিশ্রম প্রয়োজন: এমন কিছু ডাউনলোড করতে আমাকে একটি পরিষেবা কল করতে হবে যা একটি নতুন "এলোমেলো উত্পন্ন করে" "ইউআরএল, কিছু সময়ের জন্য এটি সম্ভবত কোথাও (সম্ভবত ডিবিতে) সঞ্চয় করে ক্লায়েন্টকে ফিরিয়ে দেয়। ক্লায়েন্টটি ইউআরএল পায় এবং উইন্ডো.পেন বা তার সাথে একই জাতীয় ব্যবহার করে। অনুরোধ করা হলে, নতুন ইউআরএলটি এটি এখনও বৈধ কিনা তা পরীক্ষা করে দেখা উচিত এবং তারপরে ডেটা ফেরত দেওয়া উচিত।

2 কমপক্ষে কাজ হিসাবে মনে হয়।

3 প্রচুর কাজ মনে হয়, এমনকি উপলব্ধ গ্রন্থাগারগুলি ব্যবহার করে এবং অনেকগুলি সম্ভাব্য সমস্যা। (আমার নিজের ডাউনলোড স্ট্যাটাস বার সরবরাহ করতে হবে, পুরো ফাইলটি মেমরিতে লোড করুন এবং তারপরে ব্যবহারকারীকে স্থানীয়ভাবে ফাইলটি সংরক্ষণ করতে বলুন)।

এই টাস্কটি যদিও বেশ বেসিক বলে মনে হচ্ছে তাই আমি ভাবছি যে আমি ব্যবহার করতে পারার মতো আরও সহজ কিছু আছে কিনা।

আমি অগত্যা একটি সমাধান "কৌণিক উপায়" খুঁজছি না। নিয়মিত জাভাস্ক্রিপ্ট ঠিক আছে।

ডাউনলোড বৈশিষ্ট্যাবলী , ফেচ এপিআই এবং ইউআরএল.আরসিআরএবজেক্ট URL ব্যবহার করে ক্লায়েন্টে এটি ডাউনলোড করার একটি উপায় এখানে । আপনি আপনার জেডাব্লুটিটি ব্যবহার করে ফাইলটি আনবেন, পে-লোডকে একটি ব্লাবে রূপান্তরিত করবেন, ব্লবকে কোনও অবজেক্টে ইউআরএল-এ স্থাপন করবেন, অ্যাঙ্করএল URL এ অ্যাঙ্কর ট্যাগের উত্স নির্ধারণ করবেন এবং জাভাস্ক্রিপ্টে সেই অবজেক্ট URL ক্লিক করুন।

let anchor = document.createElement("a");
document.body.appendChild(anchor);
let file = 'https://www.example.com/some-file.pdf';

let headers = new Headers();
headers.append('Authorization', 'Bearer MY-TOKEN');

fetch(file, { headers })
    .then(response => response.blob())
    .then(blobby => {
        let objectUrl = window.URL.createObjectURL(blobby);

        anchor.href = objectUrl;
        anchor.download = 'some-file.pdf';
        anchor.click();

        window.URL.revokeObjectURL(objectUrl);
    });

downloadবৈশিষ্ট্যের মানটি হবে শেষ ফাইলের নাম। যদি ইচ্ছা হয়, তবে আপনি অন্যান্য উত্তরে বর্ণিত হিসাবে বিষয়বস্তু স্বভাবের প্রতিক্রিয়া শিরোনামের বাইরে একটি উদ্দেশ্যযুক্ত ফাইলের নামটি খনি করতে পারেন ।

প্রযুক্তি

জে ডাব্লুটি টি সুপরিচিত প্রচারক আথ0 এর মাটিয়াস ওলোসকির এই পরামর্শের ভিত্তিতে আমি হক এর সাথে স্বাক্ষরিত অনুরোধ উত্পন্ন করে এটি সমাধান করেছি ।

উলোসকি উদ্ধৃত:

আপনি যেভাবে সমাধান করছেন সেটি হ'ল এডাব্লুএসের মতো একটি স্বাক্ষরিত অনুরোধ উত্পন্ন করে উদাহরণস্বরূপ।

অ্যাক্টিভেশন লিঙ্কগুলির জন্য ব্যবহৃত এই কৌশলটির একটি উদাহরণ এখানে রয়েছে ।

ব্যাকএন্ড

আমি আমার ডাউনলোড ইউআরএল সাইন করতে একটি এপিআই তৈরি করেছি:

অনুরোধ:

POST /api/sign
Content-Type: application/json
Authorization: Bearer...
{"url": "https://path.to/protected.file"}

প্রতিক্রিয়া:

{"url": "https://path.to/protected.file?bewit=NTUzMDYzZTQ2NDYxNzQwMGFlMDMwMDAwXDE0NTU2MzU5OThcZDBIeEplRHJLVVFRWTY0OWFFZUVEaGpMOWJlVTk2czA0cmN6UU4zZndTOD1c"}

একটি স্বাক্ষরিত ইউআরএল দিয়ে, আমরা ফাইলটি পেতে পারি

অনুরোধ:

GET https://path.to/protected.file?bewit=NTUzMDYzZTQ2NDYxNzQwMGFlMDMwMDAwXDE0NTU2MzU5OThcZDBIeEplRHJLVVFRWTY0OWFFZUVEaGpMOWJlVTk2czA0cmN6UU4zZndTOD1c

প্রতিক্রিয়া:

Content-Type: multipart/mixed; charset="UTF-8"
Content-Disposition': attachment; filename=protected.file
{BLOB}

সম্মুখভাগ ( জোজয়ুজি দ্বারা )

এইভাবে আপনি একক ব্যবহারকারীর ক্লিক এ সব করতে পারেন:

function clickedOnDownloadButton() {

  postToSignWithAuthorizationHeader({
    url: 'https://path.to/protected.file'
  }).then(function(signed) {
    window.location = signed.url;
  });

}

ইতিমধ্যে উল্লিখিত বিদ্যমান "ফেচ / ক্রিয়েওবজেক্ট URL" এবং "ডাউনলোড-টোকেন" পদ্ধতির বিকল্প একটি স্ট্যান্ডার্ড ফর্ম পোষ্ট যা একটি নতুন উইন্ডোকে লক্ষ্য করে । ব্রাউজারটি সার্ভারের প্রতিক্রিয়ায় সংযুক্তি শিরোনামটি একবার পড়লে এটি নতুন ট্যাবটি বন্ধ করে ডাউনলোড শুরু করবে। এই একই পদ্ধতির কোনও নতুন ট্যাবে পিডিএফ এর মতো সংস্থান প্রদর্শন করার জন্য সুন্দরভাবে কাজ করার জন্যও ঘটে।

এটিতে পুরানো ব্রাউজারগুলির জন্য আরও ভাল সমর্থন রয়েছে এবং নতুন ধরণের টোকেন পরিচালনা করা এড়ানো যায়। ইউআরএলটিতে বুনিয়াদি লেখকের তুলনায় এটির দীর্ঘমেয়াদী সমর্থনও থাকবে, যেহেতু ইউআরএলটিতে ব্যবহারকারী নাম / পাসওয়ার্ডের জন্য সমর্থন ব্রাউজারগুলি দ্বারা সরানো হচ্ছে ।

উপর ক্লায়েন্ট-সাইড আমরা ব্যবহার target="_blank"এমনকি ব্যর্থতা ক্ষেত্রে, যা spas (একক পৃষ্ঠার অ্যাপ্লিকেশানগুলি) জন্য বিশেষভাবে গুরুত্বপূর্ণ মধ্যে এড়ানোর নেভিগেশনে।

প্রধান সতর্কীকরণ যে সার্ভার সাইড JWT বৈধতা থেকে টোকেন পাওয়ার জন্য রয়েছে পোস্ট তথ্য এবং হেডার থেকে নয় । যদি আপনার ফ্রেমওয়ার্কটি প্রমাণীকরণ শিরোনাম ব্যবহার করে স্বয়ংক্রিয়ভাবে রুট হ্যান্ডলারগুলিতে অ্যাক্সেস পরিচালনা করে তবে আপনার হ্যান্ডলারটি অচিহ্নিত / বেনাম হিসাবে চিহ্নিত করতে হবে যাতে আপনি যথাযথ অনুমোদনের বিষয়টি নিশ্চিত করতে JWT কে ম্যানুয়ালি বৈধ করতে পারেন।

ফর্মটি গতিশীলভাবে তৈরি এবং অবিলম্বে ধ্বংস করা যেতে পারে যাতে এটি সঠিকভাবে পরিষ্কার করা হয় (দ্রষ্টব্য: এটি সাধারণ জেএসে করা যেতে পারে, তবে জিকুয়েরি এখানে স্পষ্টতার জন্য ব্যবহৃত হয়) -

function DownloadWithJwtViaFormPost(url, id, token) {
    var jwtInput = $('<input type="hidden" name="jwtToken">').val(token);
    var idInput = $('<input type="hidden" name="id">').val(id);
    $('<form method="post" target="_blank"></form>')
                .attr("action", url)
                .append(jwtInput)
                .append(idInput)
                .appendTo('body')
                .submit()
                .remove();
}

লুকানো ইনপুট হিসাবে আপনার জমা দেওয়ার জন্য যে কোনও অতিরিক্ত ডেটা যুক্ত করতে হবে এবং সেগুলি ফর্মে যুক্ত হয়েছে তা নিশ্চিত করুন।

আমি ডাউনলোডের জন্য টোকেন তৈরি করব।

কৌণিকর মধ্যে অস্থায়ী টোকেন পাওয়ার জন্য একটি প্রমাণীকরণ অনুরোধ করুন (এক ঘন্টা বলুন) তারপরে এটি প্যারা প্যারামিটার হিসাবে যুক্ত করুন। আপনি যেভাবে চান ফাইলগুলি ডাউনলোড করতে পারেন (উইন্ডো.পেন ...)

একটি অতিরিক্ত সমাধান: মৌলিক প্রমাণীকরণ ব্যবহার করে। যদিও এটি ব্যাকএন্ডে কিছুটা কাজ প্রয়োজন, টোকেনগুলি লগগুলিতে দৃশ্যমান হবে না এবং কোনও ইউআরএল স্বাক্ষর কার্যকর করতে হবে না।

মক্কেলের পক্ষে

একটি উদাহরণ ইউআরএল হতে পারে:

http://jwt:<user jwt token>@some.url/file/35/download

ডামি টোকেন সহ উদাহরণ:

http://jwt:eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiIwIiwibmFtZSI6IiIsImlhdCI6MH0.KsKmQOZM-jcy4l_7NFsv1lWfpH8ofniVCv75ZRQrWno@some.url/file/35/download

তারপরে আপনি এটিকে <a href="...">বা এড়াতে পারেন window.open("...")- ব্রাউজারটি বাকিটি পরিচালনা করে।

সার্ভার সাইড

এখানে বাস্তবায়ন আপনার উপর নির্ভর করে এবং এটি আপনার সার্ভার সেটআপের উপর নির্ভরশীল - এটি ?token=ক্যোয়ারী প্যারামিটার ব্যবহার করা থেকে খুব বেশি আলাদা নয় ।

লারাভেল ব্যবহার করে, আমি সহজ রুটে চলে গিয়েছি এবং Authorization: Bearer <...>সাধারণ প্রমাণীকরণের মিডলওয়্যারটিকে বাকী অংশটি হ্যান্ডেল করে দিয়ে প্রাথমিক প্রমাণীকরণের পাসওয়ার্ডটিকে JWT শিরোনামে রূপান্তরিত করেছি :

class CarryBasic
{
    /**
     * @param Request $request
     * @param \Closure $next
     * @return mixed
     */
    public function handle($request, \Closure $next)
    {
        // if no basic auth is passed,
        // or the user is not "jwt",
        // send a 401 and trigger the basic auth dialog
        if ($request->getUser() !== 'jwt') {
            return $this->failedBasicResponse();
        }

        // if there _is_ basic auth passed,
        // and the user is JWT,
        // shove the password into the "Authorization: Bearer <...>"
        // header and let the other middleware
        // handle it.
        $request->headers->set(
            'Authorization',
            'Bearer ' . $request->getPassword()
        );

        return $next($request);
    }

    /**
     * Get the response for basic authentication.
     *
     * @return void
     * @throws \Symfony\Component\HttpKernel\Exception\UnauthorizedHttpException
     */
    protected function failedBasicResponse()
    {
        throw new UnauthorizedHttpException('Basic', 'Invalid credentials.');
    }
}