Geschützter Download von anderem Server?

[tab]

Ich habe eine Installation mit zahlreichen Galerien und Downloadmöglichkeiten für die Bilder, auch in anderen (größeren) Größen als die Bilder angezeigt werden. Mittlerweile bin ich bei knapp 5 GB Bilddaten und es ist absehbar, dass das noch deutlich mehr wird. Die Installation liegt bei uberspace und läuft dort inklusive Paketverwaltung ganz prima. Allerdings habe ich dort zwei Schwierigkeiten, nämlich "nur" 10 GB Webspace und "nur" 100 GB Traffic pro Monat. Über kurz oder lang muss ich wohl entweder auf einen anderen Webspace wechseln. Auf meinem 1&1 Webspace, der mit den Daten und Traffic-Limits kein Problem hätte, habe ich Bedenken wegen des doch ziemlich limitierten RAM von 128MB pro Prozess. Ok, mit einem preisneutralen Upgrades liese sich das eventuell verbessern. Welche anderen Webhoster bzw Pakete kämen denn in der Liga bis 10€/Monat in Frage? Anforderungen wären eben 30-50 GB Webspace, Traffic "unlimited" (ich gehe aber davon aus, dass 200 GB/Monat auch reichen würden), genug RAM für größere Downloads und Bilder - und vor allem problemlos nutzbar mit Composer, was ja derzeit mit den RAM-Anforderungen auch nicht selbstverständlich ist. Allerdings habe ich keine wirklich großen Pakete wie Metamodels im Einsatz. Dann müsste noch eine extern registrierte Subdomain auf den Webspace aufschaltbar sein.

Alternativ muss mir was einfallen lassen, wie ich die großen Brocken irgendwie auslagern kann. Das wäre mire eigentlich am liebsten, dann kann die Installation auf dem uberspace bleiben, wo sie ja prima läuft. Klar, ich könnte die Dateien in Archive packen, die auf einen anderen Webspace legen und einfach dahin verlinken. Aber die Archive sollen nur für angemeldete Mitglieder downloadbar sein. Lokal auf dem uberspace klappt das auch, aber ein Downloadelement für eine Datei auf einem anderen Server? Und das, ohne die Datei erst mal zumindest temporär auf den uberspace laden zu müssen? Denn ansonsten löse ich zwar das Webspace-Problem, verschärfe aber dafür dramatisch das Traffic-Problem. Oder könnte man da was z.B. über den Referrer und eine .htaccess auf dem externen Server machen? Auf die Seite mit dem Downloadelement (würde ich dann in einen normalen Link auf den externen Server umwandeln) kommen sowieso nur angemeldete Mitglieder. Eine Beschränkung auf diese Seite als Referrer würde also wohl als Authentifikation reichen. Wer den Referrer faken kann, der soll eben runterladen dürfen, es handelt sich nicht um die Goldreserven von Fort Knox. Oder gibt es sonst noch einfachere Möglichkeiten, die ich übersehen habe?

[soweit_ok]

Mein spontaner Gedanke - diese statischen Ressourcen auf ein CDN auszulagern. Geht ja auch in der dynamischen Variante mit aut. Synchronisierung und es gibt gute CDN-Anbieter mit Serverstandorten in Deutschland. Und die Kosten dafür halten sich in Grenzen.

Schützen könntest Du die Downloads so ganz normal, weil die Daten mit Verwendung eines CDN genauso behandelt werden können, als wenn sie auf dem eigenen Webspace lägen. Bräuchtest eigentlich bloß bei der Generierung der Download-Links im Template den Pfad entsprechend anpassen.

Nachtrag: Ich dachte eben nicht daran, dass Du auf Deinem Webspace Platzmangel befürchtest, sonst bräuchtest Du die Bilder schließlich nicht auslagern. Synchronisierung also nicht infrage kommt. Aber es gibt ja auch die CDN-Variante zum Hochladen und das könntest Du bei Änderungen und neuen Bildern direkt von Deiner Applikation anstoßen, oder per Cronjob, falls das reicht.

[Spooky]

Du könntest dir am anderen Server ein System einrichten, wo du die Login Daten abgleichst und dir dann immer dynamisch ein Access Token vom Server holst, alle File Requests über ein Script laufen lässt, wo du das Access Token als Parameter mitgibst und wenn man ein gültiges Access Token angegeben hat, gibt das Script die Datei aus, sonst 403.

So bzw. ähnlich funktioniert es auch bei Facebook.


Evt. kannst du aber auch einfach die Login Session dynamisch auf den anderen Server kopieren und das Ganze dann mit der file_access Erweiterung implementieren.

[soweit_ok]

Evt. kannst du aber auch einfach die Login Session dynamisch auf den anderen Server kopieren ...

Falls ich Dich richtig verstand, wäre es quasi eine Art SSO-Äquivalent. Interessiert mich sehr. Hast Du sowas schonmal erfolgreich getestet und mit sicherer Übertragung? Wie hast Du den Punkt gelöst, dass das Mitglied auf dem entfernten Server vielleicht noch nicht registriert ist? Und sofern Du nicht erst umständlich danach suchen müsstest, bist ggf. vielleicht sogar bereit, mal Beispielcode zu posten?

Nachtrag: Sorry, ich hatte die Voraussetzung überlesen, dass die Registrierung im Zielsystem bereits erfolgt sein muss. Erscheint mir als unangenehme Einschränkung. Grad bei Downloadangeboten registrieren sich Besucher ja meist erst anlässlich eines beabsichtigten Downloads und nicht unbedingt präventiv, weil sie vielleicht irgendwann mal was herunterladen wollen könnten. Und bei der hier genannten Anforderung würden sie sich ja eigentlich in der besuchten Webseite registrieren und nicht auf dem entfernten Server, oder? Optimal fände ich deshalb die aut. Replizierung der Registrierung. Falls ich mich nicht irre, gabs mal eine Erweiterung, welche ein authentifiziertes Mitglied automatisch anlegt und einloggt, falls noch nicht gespeichert. Ich glaub aber, seinerzeit für Cto. 2 ... k. A. ob die auch für Cto. 3 angepasst wurde.

[tab]

Nachtrag: Sorry, ich hatte die Voraussetzung überlesen, dass die Registrierung im Zielsystem bereits erfolgt sein muss. Erscheint mir als unangenehme Einschränkung. Grad bei Downloadangeboten registrieren sich Besucher ja meist erst anlässlich eines beabsichtigten Downloads und nicht unbedingt präventiv, weil sie vielleicht irgendwann mal was herunterladen wollen könnten.

In meinem Fall wäre das keine Einschränkung. Ein Registrierungsformular für Mitglieder gibt es nicht, die werden manuell von mir registriert und können ohne Registrierung sowieso keine einzige Seite der Website sehen außer der 403er Seite mit Anmeldeformular. Ich mache mir die Sache da auch sehr einfach, indem sich alle einfachen Mitglieder Username und Passwort teilen. Sollte das dann mal versehentlich an eigentlich unberechtigte Personen weitergegeben werden, dann ist es halt so. Falls mir das zuviel wird, dann ändere ich die Zugangsdaten einfach. Ist ja nur ein Service für die Mitglieder eines meiner Vereine und kein kostenpflichtiger Inhalt.

[Spooky]

Falls ich Dich richtig verstand, wäre es quasi eine Art SSO-Äquivalent. Interessiert mich sehr. Hast Du sowas schonmal erfolgreich getestet und mit sicherer Übertragung? Wie hast Du den Punkt gelöst, dass das Mitglied auf dem entfernten Server vielleicht noch nicht registriert ist? Und sofern Du nicht erst umständlich danach suchen müsstest, bist ggf. vielleicht sogar bereit, mal Beispielcode zu posten?

Nein, ich hatte da nichts bestimmtes im Sinn, bin mir auch nicht sicher, ob das so einfach möglich ist.

[tab]

Jedenfalls habe ich ein paar Stichworte, an denen ich mich entlanghangeln kann. Ich schau mir das gelegentlich mal an. Wie lange der Uberspace noch reicht habe ich ja selbst in der Hand. Momentan noch dicke - und wann ich weitere Galerien und Bilder hochlade liegt ja bei mir. Ist halt nur klar, dass es nicht für alle Bilder reichen wird, die ich plane irgendwann hochzuladen.