3
我對文檔有一個寧靜的服務,其中文檔存儲在mongodb中,文檔的restful api是/ document /:id,最初:api中的id使用mongodb的對象ID,但是我奇怪的是,這種方法揭示了數據庫ID,並揭露了潛在的威脅,如果我想用假名ID來代替它。使用數據庫ID作爲restful服務id暴露威脅?
如果需要它來取代它的假名ID,我不知道是否有一個算法的方法對我來說,改造的對象ID和假名ID來回沒有太多的計算
A
回答
1
首先,沒有「數據庫包含在ObjectID中的「id」。
我假設您的關注來自the spec列出一個3字節機器標識符作爲ObjectID的一部分的事實。有幾件事要注意:
- 大部分時間,ObjectID實際上是在客戶端而不是服務器(儘管它可以)生成。因此,這通常是應用程序服務器的機器標識符,而不是數據庫
- 3字節機器標識是機器主機名稱或MAC /網絡地址的(md5)散列的前三個字節,或者是虛擬機的ID(取決於具體的實現),所以它不能被逆轉回任何特別有意義的東西
有了上述想法,你可以看到擔心暴露信息並不是真正的擔憂。
然而,即使是一個小樣本,猜測有效的ObjectID也是相對容易的,所以如果你想避免那種類型的流量衝擊你的應用程序,那麼你可能想要使用其他的東西(ObjectID的hash例如)是一個好主意),但這將取決於您的要求。
相關問題
- 1. CMS暴露數據作爲RESTful API
- 2. WCF暴露爲RESTful
- 3. 將數據庫ID暴露給用戶界面
- 4. 在SaaS多租戶RESTful應用程序中暴露ID
- 5. WCF數據服務暴露問題
- 6. 暴露服務配置數據
- 7. 通過服務暴露數據對象?
- 8. 暴露用戶ID是否危險?
- 9. RESTful服務容易受到哪些類型的威脅?
- 10. 將restful api暴露給另一個數據庫
- 11. 暴露大型Web服務數據集供Access或Excel使用
- 12. grails域類暴露java類的id
- 13. 隱藏主鍵或ID暴露
- 14. 暴露Web服務API 3
- 15. 使用GCM註冊ID作爲唯一ID作爲數據庫的CRUD操作?
- 16. 如何防止從服務器暴露主要ID到用戶界面?
- 17. 我暴露服務層爲web服務後,服務層注入不工作
- 18. 威脅
- 19. 如何使用SimpleCursorAdapter將數據庫中的ID用作Listview ID?
- 20. 我可以使用Web服務面對哪種安全威脅?
- 21. 我可以使用restful作爲網站數據服務嗎?
- 22. 將數據從iPhone發佈到暴露OData的服務器
- 23. 暴露給WCF的ADO.NET數據服務實體
- 24. 暴露嵌套對象的RIA服務
- 25. 通過BizTalk服務暴露oData
- 26. AngularJS - 暴露字符串的服務
- 27. 暴露EJB方法,REST服務
- 28. 多服務暴露單端點
- 29. 如何暴露在我的WCF服務
- 30. 在wcf服務中暴露的方法
謝謝,亞當和objectID的哈希符合我的需求,並且https://github.com/ivanakimov/hashids.node.js是一個很好的遵循 – user824624 2013-05-02 17:19:50