使用guid顯示「安全」發票

Question

我爲學生管理（武術學校）創建了一個網站。其中包括開具發票的學生。目前，我的用戶可以做到這一點的唯一方法是打印發票並交給學生。我想創建一種讓學生在線發票的方式。

我一直在考慮爲學生使用GUID，並將其用作發票查詢字符串的參數。 （http://thesite.com/invoice.php?guid=E3D3D122-5AB6-4405-96EC-7C0579710813）

發票將是一個只讀頁，並允許沒有訪問的其餘部分現場。所以我不必擔心數據包嗅探（我不相信在咖啡店裏嗅探流量是一個問題，如果他們有權訪問的是隨機的學生髮票）。

我很擔心某人能夠猜測或得到一組特定的發票（即競爭對手的所有發票）。

我覺得我是瘋了考慮它，或者這是一個相對標準的做法。我只是不確定哪個。這是一個很好的健康檢查。

謝謝

Answer 1

這實際上是一個好的，安全的過程;當然，你失去了URL的可讀性，但如果這不是什麼問題，那是一個很好的解決方案。這當然不是可以猜測的。

作爲一項附加的安全措施，您可能需要對發票訪問進行日誌記錄。

Answer 2

我會更進一步，將發票存儲爲受密碼保護的pdf文檔。這實現了幾件事情：

• 文檔是隻讀（網頁是太多，但PDF文件是爲終端用戶改變更難）
• 學生還需要密碼來訪問該信息文件，即使有人猜測了GUID（或者更有可能獲得郵寄給他們的快捷方式/網址），他們也無法看到文檔中的內容（他們將無法看到數量，學校的用途，等等）
• 即使從Web緩存中檢索文檔，也不會在沒有密碼的情況下查看文檔
• 它易於打印
• 它應該很容易在其他設備上查看