现在,我真的需要高性能,一种方法是省略对数据库的身份验证的额外往返,并仅依赖于URL无法猜测。
谷歌使用Picasa Web相册实现此功能,您可以将相册设为私有或未列出。这样可以保护相册但不能保护照片本身。以丹麦斯卡恩(Skagen)的这张照片为例; http://lh4.ggpht.com/_Um1gIFfF614/TQpVMvN3hPI/AAAAAAAANRs/GY5DxrDPHUE/s800/IMG_4074.JPG,它实际上在一个私人相册中,但是您们都可以看到它。
那么你对此有什么看法?64个字符长的随机字符串足够“安全”吗?还有其他方法吗?
假设我选择为每个资源请求进行身份验证。用户已登录到somedomain.com上的网站,在那里他们访问他们的照片相册。放置了一个cookie来维护他们的身份验证。
现在,实际的照片是通过完全不同的URL提供的某种形式的CDN或存储服务提供的。
如何在多个域之间维护身份验证?假设两个相册的内容可以从两个不同的服务器交付。