Hello,
Soweit ich die Nummer verstanden habe: beste Antwort bislang. Speicher die Bilder direkt als UUID.jpg/png, versende/zeige den Link dazu an und fertig.
Ich habe selbstverstäbdlich nochmal darüber nachgedacht.
Bis zu dem Punkt, an dem eine UUID oder sonst ein Token per Link im Response-Body per HTTPS-Response gesendet wird, mag ich Dir zustimmen. Solange sollte das sicher sein.
Aber schon der Versand per eMail ist fragwürdig. da hier schon wieder zuviele "kostenlose" eMail-Anbieter im Spiel sein können, die in ihren Geschäftsbedingungen ausdrücklich darauf hinweisen, dass sie mitlesen dürfen.
Und beim per HTTPS-Response verschickten Link (im verschlüsselten Body) wird es in dem Moment interessant, wenn er benutzt wird, man darauf klickt, also der Link inklusive Token wieder im GET-Request auftaucht. Dann ist er i.d.R. wieder lesbar für Mitleser, Sniffer, usw.
Glück Auf
Tom vom Berg