get방식 파일 다운로드 관련하여 질문 하나만 드리겠습니다.

918 views
Skip to first unread message

애너벨리

unread,
Jan 24, 2014, 9:36:00 PM1/24/14
to ks...@googlegroups.com
안녕하세요

파일 다운로드 관련하여 질문 하나만 드려도 될까요?

파일 다운로드가 기존에 GET방식으로 구현돼있고 jsp 에서 

download.mvc?fileGrpId=5059&attachFileId=11660&contentType=image/jpg 형태로 수백군데 링크가 걸려있습니다.


 
그런데 이번 요구사항에 url 에서 직접 파일그룹아이디, 어태치파일아이디 를 변경하여 호출하면 파일 다운로드가 무작위로 되니 url 호출시 

파일다운로드가 안되도록 해달라 . 라는 요청사항이 있었고 , 

get방식 다운로드를 post방식으로 변경하려고 생각을 해보니, jsp 단을 수백군데 고쳐야한다는 부담감이 있습니다..



하여 get 방식을 유지한체, url 직접 호출만 막을수 있는 방법에 대해 생각을 해봤는데 마땅한 방법이 떠오르지 않아서 이렇게 질문 드립니다.

질문 읽어주셔서 감사합니다 

p.s 대안으로 스프링 시큐리티가 떠오르긴 한데, 어떤식으로 구현하는게 좋을지 감이 오질 않습니다..

이수홍

unread,
Jan 24, 2014, 10:05:36 PM1/24/14
to ks...@googlegroups.com

일단 현대와 동일하게 링크를 바꾸지 않고 하기는 힘들것 같구요
링크를 바꿀 수 있으면 파라미터를 암호화 하는 형태로 하는게 좋을 것같습니다.

아니면 래퍼러 체크해서 하는방법이 있긴하지만 한계가 있어서 비추하구요.

파라메터 값만 암호화하면 쉽게 고치기 힘들거구요

받는 곳에선 복호화하는 형태면 문제 없습니다.

2014. 1. 25. 오전 11:36에 "애너벨리" <kwo...@gmail.com>님이 작성:
--
Google 그룹스 'Korea Spring User Group' 그룹에 가입했으므로 본 메일이 전송되었습니다.
이 그룹에서 탈퇴하고 더 이상 이메일을 받지 않으려면 ksug+uns...@googlegroups.com에 이메일을 보내세요.
http://groups.google.com/group/ksug에서 그룹을 방문하세요.
더 많은 옵션을 보려면 https://groups.google.com/groups/opt_out을(를) 방문하세요.

애너벨리

unread,
Jan 24, 2014, 11:09:10 PM1/24/14
to ks...@googlegroups.com
이수홍님 소중한 답변 감사합니다. 

역시 jsp 단 수정없이는 힘들군요

감사합니다|!!

2014년 1월 25일 토요일 오후 12시 5분 36초 UTC+9, 코바(이수홍) 님의 말:

장시영

unread,
Jan 25, 2014, 5:22:52 AM1/25/14
to ks...@googlegroups.com
get방식을 단순히 post방식으로 변경한다고 해결된 문제는 아닌것 같습니다.

fileid가 순차적인 상황이 문제일테구요. 간단한 방법으로는 범위를 크게해서 랜덤값을 생성해서 fileid로 할당하는 방법이 있겠습니다.

 


2014년 1월 25일 오후 1:09, 애너벨리 <kwo...@gmail.com>님이 작성:



--
장 시영
Code Solutions 대표 http://codesolutions.kr
Facebook http://www.facebook.com/seeyoung.chang
전화 010-5146-9369
메일 seey...@codesolutions.kr  seey...@gmail.com

YongHyeok Lee

unread,
Jan 25, 2014, 10:29:04 AM1/25/14
to ks...@googlegroups.com, ks...@googlegroups.com
다운로드를 요청하는 페이지에서..
다운로드 받을 파일의 넘버를 특정키의 쿠키에 넣어서..

해당 다운로드 jsp에서 쿠키값을 체크해서 없으면..쿠키값과 요청하는 파일이 다르면 페일..

이렇게하면 무작위 호출에 대한 임시방편 정도는 되지 않을까요...

나의 iPhone에서 보냄

2014. 1. 25. 19:22 장시영 <seey...@gmail.com> 작성:

용정석

unread,
Jan 26, 2014, 7:53:47 PM1/26/14
to ks...@googlegroups.com
윗분들 방법으로 처리가 어려운거라면
링크의 접속 정보를 체크해 보는것은 어떨가 싶습니다.

다운로드 링크들은 대부분 해당 서버의 웹페이지에서 이벤트가 발생 할겁니다.

그런데 이 부분을 브라우져에서 url 을 약간 수정해서 타고 올수도 있습니다.

제가 알기로는 url 링크 호출 서버의 아이피나 기타 몇가지 정보를 알수 있는것으로 알고 있습니다.

이 정보를 현재 홈페이지의 정보와 다를경우 처리를 하시면 어떨까 싶습니다.

ps. php 에서는 가능 한걸로 아는데요. jsp 에서는 한번 찾아 봐야 될듯 하네요.


애너벨리

unread,
Feb 1, 2014, 10:37:15 PM2/1/14
to ks...@googlegroups.com
소중한 답변 감사합니다~!

근본적인 해결을 원하셔서 

(권장되진 않지만)GET 파라미터 암호화(RSA)로 처리하였습니다. 다시한번 감사드립니다.
Reply all
Reply to author
Forward
0 new messages