Hola gente,

Mi duda es la siguiente: Si tenemos un servicio X, donde un usuario tiene almacenado un archivo en nuestra web, ¿cómo controlamos que este usuario sea el único en poder descargar el fichero?

A este punto estoy suponiendo que no hubo autenticación HTTP, por ejemplo un webmail o un foro.

¿Cómo controlar que realmente SOLO USUARIOS tienen acceso real al archivo?

¿Cómo lo harían?

Claro, a mi se me ocurrió que los archivos pueden estar en un lugar inaccesible hasta que se descarga. Ahi, si el usuario es válido, se copia a una carpeta con nombre determinado para la descarga (como un token), y ahi el usuario se lo descarga.

Ahora, si alguien sniffeando o como sea, obtiene el nombre de la carpeta, como NO hay autenticación HTTP de por medio, podrá igualmente descargar el archivo, a menos que haya otra configuración del server que lo limite.

Lo del usuario con htuser no me va porque es precisamente una autenticación HTTP. Lo de autorizar una IP o host por archivo de configuración, para darle acceso a un directorio, tampoco me va ya que en realidad, necesito restartear Apache para que me tome los cambios, y yo de repente quiero darle una descarga a una IP, y que nadie más pueda.

Habrá otro modo?? Tal vez una forma de modificar los permisos de Apache sobre un directorio en plena ejecución??