0
我讀過一些關於散列用戶的ID(DB主鍵)並保密的事情,但我真的不明白爲什麼。如果用戶ID是一個祕密
我正在創建一個REST API,您可以從中檢索某個用戶的資源。取決於登錄的用戶,他/她將接收公共資源,並在獲得授權的情況下接收私人資源。
是不是不好做這樣的事情:
.../resources?user_id=17
感謝
A
回答
1
那麼,用戶將必須由一些 ID來標識。即使您公開的ID是實際ID或其他一些隨機數的散列版本,那麼即將成爲其公共ID。它對你沒有什麼幫助。
只有一個隨機化id的參數:如果你不想讓人們通過遞增計數器來簡單地刮掉你的內容。對id進行隨機化使得這樣做有點困難。除此之外:問自己什麼人可以做知道編號。希望沒有,因爲你的應用程序是安全的,否則。
2
如果您設置了正確的權限並且不允許其他用戶濫用該ID,那麼無論該ID是公共還是私人都無關緊要。
您當然可以使用單獨的ID來公開表示用戶,並使用私有ID進行權限設置。
相關問題
- 1. 翻譯API的客戶端ID和祕密祕密
- 2. OAuth 2.0如何加密客戶端ID和祕密
- 3. Linux用戶帳戶中是否有一段祕密數據?
- 4. iOS:GoogleDrive API(API祕密和ID)
- 5. 如何使用Angular 2發送OAuth2的客戶端ID和祕密ID?
- 6. Facebook應用程序ID和祕密
- 7. 是從與應用祕密
- 8. 客戶端ID和客戶端訪問foursquare API的祕密
- 9. 如何存儲一個祕密詞?
- 10. 如何實現一個祕密菜單
- 11. kubernetes:使用cli修改一個祕密?
- 12. Facebook連接:FB用戶ID,FB祕密,但沒有FB應用程序ID?
- 13. WordPress的註冊用戶只能從一個祕密的網址
- 14. 如果其中一個是空的用戶名或密碼
- 15. OAuth 2.0 - 客戶端密鑰是否必須是「祕密」?
- 16. 如何使用用戶密鑰和祕密生成oauth令牌
- 17. Azure應用程序ID是否被視爲祕密令牌
- 18. AWS Educate帳戶的訪問密鑰ID和祕密訪問密鑰
- 19. Facebook應用程序ID和祕密密鑰的用途
- 20. 是facebook應用程序ID和應用程序祕密具體爲每個用戶使用Facebook連接
- 21. OAuth2用戶端編號和祕密
- 22. 無法在客戶端ID和客戶端祕密後使用Microsoft翻譯器
- 23. GitHub不識別通過的客戶端ID和祕密
- 24. 通過API密鑰/祕密獲取Facebook應用程序ID
- 25. 製作一個祕密/隱藏視圖
- 26. 查找$祕密== MD5($ B $祕密)
- 27. 一個用戶ID和密碼來連接多個應用
- 28. 管理情況下,用戶的生日是祕密
- 29. 如何恢復用戶忘記密碼,如果密碼是saltedhash?
- 30. socket.io套接字ID應該是祕密的嗎?