В настоящее время я изучаю API MS Graph для небольшого приложения, которое я создаю, и меня немного беспокоит способ обработки миниатюр:
Я понял, что при получении миниатюр из изображений, находящихся в накопителена частном диске Sharepoint или Onedrive (за аутентификацией) эти эскизы размещаются и доступны публично.
Так, например, когда я запускаю запрос, подобный следующему:
https://graph.microsoft.com/v1.0/groups/${groupId}/drive/root/children?$expand=thumbnails
Я получаю JSON с набором миниатюр. Свойство webUrl
этих миниатюр выглядит примерно так: https://westeurope1-mediap.svc.ms/transform/thumbnail?provider=spo&inputFormat=png&cs=298h29h...
Этот URL может быть доступен любому без аутентификации.
Когда я гуглил это, я обнаружил толькоПроблема на GitHub, которая описывает это как функцию: https://github.com/microsoftgraph/microsoft-graph-docs/issues/135
Но мне интересно: Разве это не большая проблема безопасности, так как содержание потенциальных личных изображений и файлов внезапно становится общедоступным? И есть ли способ отключить / изменить запрос так, чтобы миниатюры требовали аутентификации?
URL-адрес может быть очень загадочным из-за очень длинного идентификатора в конце - но ИМХО это большекак безопасность с помощью подхода непристойности.