質問編集履歴

c\.その他のダウンロード方法について追記

2017/07/24 11:42

投稿

h_daido

スコア824

test CHANGED Viewed

File without changes

test CHANGED Viewed

@@ -32,7 +32,7 @@
 c.その他(officeドキュメントなど)
- -> railsのコントローラーを経由してダウンロードさせています。
+ -> railsのコントローラーを経由してダウンロードさせています。その際には上記can_show_file?で権限チェックしています。

UUIDについて追記しました

2017/07/24 11:42

投稿

h_daido

スコア824

test CHANGED Viewed

	@@ -1 +1 @@
1	- Rails + CarrierWave + S3(fog)でユーザー毎~~の権限制御~~をする~~ベストプラクティス~~は？
1	+ Rails + CarrierWave + S3(fog)でユーザー毎にセキュアなファイルアクセスを与える方法は？

test CHANGED Viewed

@@ -1,16 +1,66 @@
 ###前提・実現したいこと
-上記の構成で、ログインしているユーザー毎に画像の参照権限を振り分けたいです。
+表題の構成で、ログインしているユーザー毎にファイルの参照権限を振り分けたいです。
-（イメージ的にはユーザーはグループに所属しており、同じグループのユーザーが所属する画像のみ閲覧可能。のような事をしたい）
+ログインユーザーが対象のファイルを閲覧かどうかの判定については、userモデルに判定用のメソッドがあり（仮にcan_show_file?とします）、そちらで判断がつきます。
-ログインユーザーが対象の画像を閲覧かどうかの判定については、deviseとcancanで可能なのですが、
+（具体的にはユーザーはグループに所属しており、同じグループのユーザーが投稿した画像は閲覧可能となっています）
-S3のurlを総当たりすれば見れてしまうでしょうし、
+この構成でセキュアかつパフォーマンス良くアクセス権限を振るにはどうしたらよいのか?が教えていただきたい内容になります。
+主にファイルは３タイプを考えていて、
+a.画像
+ -> 直接s3のファイルURLをimgタグにセットして表示しています。attachment(モデル名).file_url等でcarrier_wave越しに取得できる値です。
+b.pdf
+ -> ブラウザ別タブ開いてプレビューさせています。渡しているURLはa.画像同様にs3のurl。
+c.その他(officeドキュメントなど)
+ -> railsのコントローラーを経由してダウンロードさせています。
+全てc.のようにコントローラーを経由しようかとも考えたのですが、特に画像のパフォーマンスがやばくなりそうなで辞めました。
+一応、[こちらのドキュメント](https://github.com/carrierwaveuploader/carrierwave/wiki/How-to:-Create-random-and-unique-filenames-for-all-versioned-files)にしたがって、ファイル名にUUIDを付与しているのですが、総当たりすることで閲覧できてしまうような...。
+そんな天文学的な確率は考慮しなくて良いのでしょうか？
+※ また、下記設定を施して、アクセス後60秒間のみ同URLでアクセス可能にしています
+```ruby
+CarrierWave.configure do |config|
+  config.fog_public     = false
-CarrierWaveのfog_public:falseとfog_authenticated_url_expirationを使っても、（一定時間の間だけですが）取得することが可能になってしまうのではと危惧しています...。
+  config.fog_authenticated_url_expiration = 60
+end
+```