برای یه فروشگاه فایل می خوام فایلها رو روی سرور فایل قرار بدم و بعد از اینکه کاربر پرداخت آنلاین رو انجام داد به سرور فایل بفرستمش و اقدام به دانلود فایل کنه

با توجه به اینکه سرور فایل یه سرور جداگانه هست و بصورت static.site.com به سایت اصلی متصل می شه و فاقد پایگاه داده هست دو مشکل وجود داره

1- بعد از ارسال کاربر به سرور فایل چطور باید تشخیص بدم که این کاربر حق دسترسی به فایلها رو داره (چطور می تونم از طریق سرور فایل به دیتابیس سرور اصلی متصل بشم و مجوزها رو بررسی کنم)

2- چطور از دانلود فایلهای موجود در سرور فایل توسط کاربران غیر مجاز جلوگیری کنم

البته باید بگم که اول قصد داشتم از رپید لیچ استفاده کنم ولی رپید لیچ بدرد این کار نمی خوره

منم مثل شما کارم گیره

من گیرم مشکل 2 شماست

امیدوارم کسی پیدا بشه اینجا جواب بده

اگه شما هم مشکلتون حل شد ممنون میشم اینجا مطرح کنید

کسی نظری نداره؟

1. باید با php و xsendfile فایل رو به مرورگر ارسال کنید .(میتونید با یک وبسرویس به سایت اصلی چک کنید کاربر سطح دسترسی دارد یا خیر)

2. یک رشته token هم اضافه کنید به آدرس ها .

1. باید با php و xsendfile فایل رو به مرورگر ارسال کنید .(میتونید با یک وبسرویس به سایت اصلی چک کنید کاربر سطح دسترسی دارد یا خیر)
اتصال به سایت اصلی چطور باید انجام بشه؟

چون سرور فایل جدا از سرور اصلی هست و بصورت static.site.com به سرور اصلی متصل می شه.

اتصال به سایت اصلی چطور باید انجام بشه؟
با soap میشه ، یا حتی میتونید یک وبسرویس بصورت REST پیاده کنید و با curl ارتباط بین سایتها رو برقرار کنید .

با soap میشه ، یا حتی میتونید یک وبسرویس بصورت REST پیاده کنید و با curl ارتباط بین سایتها رو برقرار کنید .
سرور فایل باید امنیت فایلها رو تامین کنه

بر اساس آی پی باید کاربرها رو شناسایی کنم و برای خرید لاگین وجود نداره

اگر توی هرکدوم از سرورها اسکریپت قرار بدم آیا راهی هست که این دو اسکریپت رو دور بزنن و فایلها رو دانلود کنن؟

استفاده از Remote Database Access Hosts برای اینکار جواب می ده؟

آقا منم تقریباً مشکل شما رو دارم
لطفاً اگه کسی می‌دونه باید چی‌کار کرد توضیح بده
من یک سایت دارم که + یک هاست معمولی + یک vps برای فایلها
من می‌خوام مجوزها و کنترلها و ... روی هاست معمولی صورت بگیره و تنها فایل از vps براش بیاد ولی نباید لینک دانلود رو شناسایی کنه ، اگه از یک هاست استفاده می‌شد مثل هاست دانلود مشکلی نبود چون با هدر attach می‌کردم و تمام بود ولی الآن نمی‌شه
لطفاً کسی بلده باید چی‌کار کرد توضیح بده ، روی vps فقط IIS نصبه والسلام
لطفاً راهنمایی کنید.

:|

سرور فایل باید امنیت فایلها رو تامین کنه
فرض کنید من در سایت example.ir لاگین هستم و میخواهم یک فایل را از file.example.ir دانلود کنم .
خب وقتی من در example.ir هستم ، یک رشته token توی ادرس میدید که لینک دانلود بشه file.example.ir/file/1?token=123456789
حالا در file.example.ir رشته توکن رو میگیریم و با وبسرویس میفرستیم به example.ir اونجا بررسی میشه که این توکن مربوط به کدام کاربر هست و آیا طی 5 دقیقه اخیر لاگین بوده یا خیر ، اگر مثبت بود اجازهر دانلود بدید در غیر اینصورت خیر .

حالا در file.example.ir رشته توکن رو میگیریم و با وبسرویس میفرستیم به example.ir اونجا بررسی میشه که این توکن مربوط به کدام کاربر هست و آیا طی 5 دقیقه اخیر لاگین بوده یا خیر ، اگر مثبت بود اجازهر دانلود بدید در غیر اینصورت خیر .
توی سیستمی که نوشتم کاربر ممکنه چند فایل به سبد خرید اضافه کنه و نیاز باشه چند فایل دانلود کنه

از طرفی به دلیل اینکه حجم فایلها زیاد هست احتمالا کاربر چند روز بعد از خرید همه فایلها رو دانلود کنه، همونطور که گفتم فقط باید بر اساس آی پی کاربر رو تشخیص داد و کاربرها لاگین نمی کنن. برای حل این دو مسئله باید چیکار کرد؟

باز هم رشته توکن بدید و بعد وصل بشید به سایت اصلی و سناریو مجوز دانلود رو پیاده سازی کنید .

برای اینکه با فایل htaccess جلوی دسترسی به فایلها رو بگیرم از این کد استفاده می کنم:

order allow,deny
deny from all
ولی توی بعضی از سایتها دیدم که فقط کد زیر رو استفاده می کنن:

deny from all
کدومشون صحیح تره و امینت بیشتری داره؟

بنظرم در این حالت خاص، تفاوتی نمیکنه؛ هردو یک کار رو انجام میدن.
تفاوتی که order ایجاد میکنه برای مواقعی هست که فقط یک دستور deny from all نداشته باشیم و دستورات دیگری هم درکار باشن.
البته شکل اول قاعدتا محتاطانه تر/حرفه ای تر محسوب میشه. چون اگر در آینده هم تغییراتی در فرامین htaccess دادید و فرامین جدیدی اضافه کردید، احتمال اینکه اشتباها حفره ای بوجود بیاد کمتره منطقا. البته این یه حدسه (ولی یک حدس با بینش یک حرفه ای). بقول معروف محکم کاریش بیشتره دیگه!