Rails：実際のS3 URLを表示せずにS3に保存されたファイルのダウンロードを許可する

Question

私はHerokuでホストされているRailsアプリケーションを持っています。アプリはAmazon S3にPDFファイルを生成して保存します。ユーザーは、これらのファイルをブラウザーで表示したり、コンピューターに保存したりすることができます。

私が抱えている問題は、これらのファイルのダウンロードはS3 URL（「https://s3.amazonaws.com/my-bucket/F4D8CESSDF.pdf」など）から可能ですが、明らかにそれを行う良い方法。起きているセキュリティ問題はもちろんのこと、バックエンドに関する多くの情報をユーザーに公開することは望ましくありません。

私のアプリがコントローラのS3から何らかの形でファイルデータを取得してから、そのユーザーのダウンロードストリームを作成して、Amazon URLが公開されないようにすることはできますか？

Answer 1

はい、可能です.Railsを使用してリモートファイルをフェッチし、一時的にサーバーに格納するか、バッファから直接送信します。この問題はもちろん、ファイルをユーザーに提供する前にまずファイルを取得する必要があるという事実です。

#environment.rb 
require 'open-uri' 

#controller 
def index 
    data = open(params[:file]) 
    send_data data, :filename => params[:name], ... 
end 

This issue is also somewhat related：議論のためのthis threadを参照してください、彼らのソリューションは、このようなものです。

Answer 2

s3オブジェクトをプライベートとして作成し、url_forメソッド（aws-s3 gem）で一時的な公開URLを生成することができます。この方法では、アプリケーションサーバーを介してファイルをストリーミングしないようにします。これはスケーラビリティが向上します。

これを行うには、s3のホストされたファイルへのダイレクトリンクをコントローラ/アクションへのリンクに変更して、一時URLを作成します。それにリダイレクトされます。このように：

class HostedFilesController < ApplicationController 

    def show 
    s3_name = params[:id] # sanitize name here, restrict access to only some paths, etc 
    AWS::S3::Base.establish_connection!(...) 
    url = AWS::S3::S3Object.url_for(s3_name, YOUR_BUCKET, :expires_in => 2.minutes) 
    redirect_to url 
    end 

end 

ダウンロードURLにアマゾンドメインを隠すことは、通常DNSエイリアシングで行われます。 create CNAME record aliasing your subdomainにする必要があります。 downloads.mydomain〜s3.amazonaws.com。次に:serverオプションをAWS::S3::Base.establish_connection!(:server => "downloads.mydomain", ...)に指定すると、S3 gemがリンクを生成するためにこのオプションを使用します。

Answer 3

まず、説明文hereのように、ドメインにCNAMEを作成する必要があります。

第2に、CNAMEに入れたのと同じ名前のバケットを作成する必要があります。

そして、あなたを終了するには、あなたのconfig /初期化子/ carrierwave.rbでこの設定を追加する必要があります。

CarrierWave.configure do |config| 
    ... 
    config.asset_host   = 'http://bucket_name.your_domain.com' 
    config.fog_directory  = 'bucket_name.your_domain.com' 
    ... 
end