这是一个创建于 1785 天前的主题,其中的信息可能已经有所发展或是发生改变。
有个用户上传图片的接口,用的是 django 自带的
picture = models.ImageField(default='normal.png', verbose_name='图片',upload_to='avatar')
将图片保存到本地,数据库存 url,我现在有一个问题
所有用户都可以通过
http://192.168.0.111/medias/avatar/682776550417641629_3rZLCA9.png 访问图片
等于就是能看到所有的图片
权限我用的是官方自带的权限,我想到的方法是写一个中间件,访问 /medias/avatar/进行权限判断
属于这个用户的图片就放行
希望大家帮我想一想,谢谢~~
 |
1
yim7 2019-05-30 12:38:19 +08:00  1
也就是说,用户 A 看不到用户 B 的头像?
|
 |
2
614457662 2019-05-30 12:39:09 +08:00 via Android
关键字 apache xsendfile
|
 |
3
leishi1313 2019-05-30 13:56:11 +08:00 via Android
|
 |
4
37Y37 2019-05-30 14:11:42 +08:00
自带的权限是实现不了了,需要更细力度的基于对象的权限控制
|
Select Language