RequestFactory生成的ID有多安全？

Question

我對RequestFactory的內部有一箇中等的理解，但現在我正在實施一個安全策略，並且我沒有看到關於此主題的許多文獻。我對RequestFactory使用的客戶端代理ID的安全性特別感興趣。例如，我的數據庫中的一個對象的ID可能是32，但RequestFactory可能會引用該ID爲Qkjnsd89urknasj3或其他。

某人從稀薄空氣中產生一個我的物體的有效身份證有多難？這些ID如何產生？

任何信息表示讚賞，謝謝。

Answer 1

它們不安全，它們是base64編碼的。這是爲了確保無論您在密鑰中使用什麼樣的數據，都可以將其轉換爲真正的密鑰。

所以，不要允許基於實例的ID自由開放訪問對象，但有某種邏輯來檢查當前用戶是否被允許查看記錄。或者使ID不可預測，並且ID空間足夠大以至於隨機猜測會讓你無處可尋。但即使如此，當RF引用它們時，這些密鑰將被base64編碼。