Ссылки для показа закрытых каталогов — стоит ли делать?
Есть сайт, на котором есть материалы как "для всех", так и "для своих" (для зарегистрированных).
Есть фотогалерея с альбомами "для своих" - посетитель с улицы не увидит фотографию, даже если знает её точный адрес.
Но иногда есть желание показать какой-то чужой альбом своим друзьям, и возникла идея сделать "личную ссылку" на закрытый альбом, пройдя по которой можно было бы увидеть содержимое не регистрируясь (к примеру альбом "www.site.ru/albom=85", и для него генерируем ссылку вида "www.site.ru/albom=85&kod=sdgafgasdasdvcsevfeywfvsafsd" пройдя по которой можно увидеть что там находится).
Я рассуждаю так: если я хочу показать фотографии из чужого закрытого альбома я их просто скачаю, а потом перешлю другу в письме; так зачем так мучиться, если можно просто дать "свою" ссылку.
С другой стороны, если кто-то выложит эту ссылку в открытый доступ - это будет неприятно владельцу альбома; хотелось бы сразу пресечь возможность заходов по ней.
Вопросы: 1. Стоит ли вообще затевать такое?
2. Если кто-то из друзей выложит ссылку в открытый доступ - как быстрее поймать такую ситуацию?
Как варианты: разрешать проходить по ссылке только с почтовых сайтов (gmail.com, mail.ru), ловить обращения с разных IP и если их больше N штук - блокировать ссылку, давать вообще каждому другу индивидуальный код с его e-mail (чтоб не было соблазна дарить другим: типа www.site.ru/albom=85&kod=hgahsdgfgjhgjhgjh&mail=adres@mail.ru). Лично мне ни один не нравится.
Ловить переходы с почтовых доменов или фильтровать IP - не очень хорошая идея, т.к. нет никаких 100% надежных способов все это определить. С одной стороны могут появиться всяческие "хитрецы", желающие обойти ограничения, с другой - вполне добросовестные юзеры, но работающие через какие-нибудь прокси, торы и проч. Так что я бы не стал с этим заморачиваться.
Поэтому тут два варианта: либо показывать любому, у кого есть ссылка (в т.ч. и неавторизованным на вашем сайте юзерам), либо только авторизованным юзерам, кому явно дан доступ к этому контенту.
Собственно, Гугл так делает с фотоальбомами: владелец альбома сам настраивает три варианта доступа:
1) всем
2) всем, у кого есть ссылка
3) только тем, кто явно указан
Как вариант, для разграничения доступа подумайте над тем, что бы параметр kod передавался зашифрованной строкой. А сама строка, в расшифрованном виде содержала информацию по правилам доступа - дату протухания ссылки, доступность страницы гостям или авторизованным юзерам, id-юзера, которому предназначалась ссылка и пр.
По последнему параметру, можно отдавать на фронт код для отслеживания событий в GA. По росту счетчика событий можно отслеживать шэринг ссылки.
