У меня стандартная схема взаимодействия пользователей с сайтом, т.е после(во время) регистрации каждому пользователю создается каталог в который он может загружать файлы(фото), удалять, редактировать, причем необходимо сделать так, чтобы только данному пользователю(владельцу) были доступны вышеперечисленные действия.
Например:
_____________________________________
структура каталога на сервере:
~/fotos/[login_name]/1/1/foto.jpg

где-то в тексте страницы
...
<img src="~/fotos/[login_name]/1/1/foto.jpg" />
..
т.е. необходимо показать личный файл(в данном случае фотографию) для всех.

НО МАНИПУЛИРОВАТЬ И ЗАПРАЩИВАТЬ НАПРЯМУЮ ~/fotos/[login_name]/1/1/foto.jpg ПОЗВОЛЯЕТСЯ ТОЛЬКО ВЛАДЕЛЬЦУ! Как это сделать?

Аутентификация - на основе web form.

Ограничения. Т.к загруженные в личные папки файлы могут быть использованны(просмотр фото, например) другими пользователями(анонимными включительно), ограничить совсем доступ, всем, кроме владельца, не нужно(см.пример выше). Если профайл пользователя удаляется с сайта, то также должен удалится и его личная папка и все вложенные подпапки/файлы. Причем полномочия на удаление всего личного каталога также должны быть только у владельца.

В книгах предлагают только варианты с, помещением в папки / подпапки, web.config, содержащим настройки авторизации, но это не совсем подходит. В большей степени это разграничение прав доступа на уровне файловой системы, а может и нет...


Помогите толковым советом по проектированию, а уж с реализацией справлюсь как-нибудь. Спасибо.

P.S. Естественно, обсуждаемая защита является простейшей, но из-за отсутствия опыта обращаюсь к бывалым.

Решение в лоб - показывать своим хендлером файлики и в нем делать проверку на допустимость. Ну а какие-то предопеределнные имена (типа 1.jpg с фоткой пользователя) показывать всем без проверки если нужно


Слишком много условного кода получится и имена файлов,типы файлов могут быть любыми. Такой путь не подойдет 100%.

Нужно простое элегантное решение, вроде web.config + NTFS ... Но никак не могу дойти до него.

Ну если NTFS - то это Windows аутентификация
А вообше глянь пожалуй еще Создание системы авторизации, основанной на ролях, в ASP.NET приложении


В том то и дело, что Windows аутентификация! Мне нужна смешанная (Windows + Form аутентификация)! Статью эту уже давным давно читал, когда еще первый "HelloWorld" писал. Спасибо за ответ, но не то! Нужно думать... Другие идеи есть???