Drupal 7：如何限制对特定用户角色的文件访问

Question

我需要在 Drupal 7 上开发一个站点。我在 CCK 中有一些带有 File 字段的内容类型。并且访问这些类型的节点应该只授予特定的 Drupal 用户角色。并且在任何时候，站点管理员都应该能够将这些节点设为“公共”或“私有”。

我可以让节点只对特定的用户角色可见，但这不够安全。如果匿名用户知道文件的路径（ www.mysite.org/hidden_​​files/file1 ），他可以下载它。

解决这个问题最优雅的方法是什么？

提前致谢。

Answer 1

在此处查看此文档：http://drupal.org/documentation/modules/file

具体来说，标题为“管理文件位置和访问”的部分讨论了设置私有数据存储（Drupal 7 都支持，只需要配置）。

换句话说，创建一个文件夹，例如：

站点/默认/文件/私有

在该文件夹中放置一个 .htaccess 文件，其中包含以下内容，以防止通过网络直接访问这些文件：

拒绝所有人

（文档声称以下步骤会自动执行上述步骤，遗憾的是我没有测试过，但如果您跳过上述两个步骤，您可能会节省一些时间） p>

登录 Drupal 的管理界面，进入 /admin/config/media/file-system，配置私有 URL 并选择 Drupal 提供的私有文件作为默认下载方式。

为了定义对节点和字段的细粒度访问，可以使用Content Access：http://drupal.org/project/content_access

您还需要编辑您的内容类型并设置文件/图像上传字段以将上传的文件保存到私人文件而不是公共文件中。

此时，节点和字段级别权限将决定是否允许用户访问将通过菜单挂钩提供的文件，这些挂钩在提供文件之前验证凭据。

希望这会有所帮助。