Estoy intentando crear un sistema de descarga simple como parte de mi sitio web. ¿Hay algo inseguro en esta ruta?
GET https://my_website.com/downloads?file_id=AAA&user_id=BBB&secret=CCC
Donde user_id y el código son opcionales para los archivos que se pueden descargar gratis. De lo contrario, después de un pago, genero un código / secreto único para un usuario y le proporciono un enlace.
¿Hay espacio para mejorar aquí? ¿Y hay vulnerabilidades?
No es solo una URL aleatoria
También habrá "fecha de caducidad" asociada a cada secreto.