0
例如我在我的mysql表用戶中有一個字段user-id,它唯一標識一個用戶。如果有人要求例如用戶的朋友列表,我會返回一個json數組女巫,其中包括每個朋友的用戶標識和附加數據(如姓名)。在REST中通過id直接標識mysql條目是個好主意嗎?
所以我的問題是,如果這是一個好主意,直接發送這些用戶ID到客戶端。這是不安全的嗎?有沒有方法隱藏ID?
問候
A
回答
1
這取決於是否泄漏從您的應用程序ID信息是一個嚴重的問題或沒有。如果您處於競爭激烈的業務中,知道系統上的用戶數量是有價值的信息,或者您擔心有人可能會按順序逐步通過它們來系統地下載您的數據庫,那麼加擾它們確實有幫助。
使用加密隨機標識符或UUID是解決此問題的兩種較常見的方法。一個真正隨機的標識符提供更多的安全性,但需要更多的關注來構建,因爲有很多方法可能導致錯誤。
值得注意的是像Stack Overflow這樣的網站會泄漏用戶ID,因爲在隱藏它們時沒有任何價值。例如,您的個人資料鏈接中包含用戶ID:2441032.
+1
感謝您的回答!我注意到,即使Facebook泄漏用戶ID https://www.facebook.com/profile.php?id=4。反正uuids看起來更專業但性價比很高。 – FunnyItsElmo
+0
沒有真正的巨大性能成本。對於面向公衆的接口使用替代表示方法只是一小部分工作。即使Ruby可以每秒生成100K UUID。 – tadman
相關問題
- 1. 使用唯一的成員標識符標識對象是個好主意嗎?
- 2. 將mysql連接設置爲靜態是一個好主意嗎?
- 3. 在mysql中索引datetime字段是個好主意嗎?
- 4. 通過命令行安全:這是一個好主意嗎? (PHP)
- 5. 客戶端UI通過Javascript呈現是一個好主意嗎?
- 6. 通過Rx從MailboxProcessor返回結果是一個好主意嗎?
- 7. 在Python接口中定義屬性是一個好主意嗎?
- 8. 單身REST數據庫資源是一個好主意嗎?
- 9. 使用MVC的REST Web服務,這是一個好主意嗎?
- 10. 使用REST webservice上傳文件是一個好主意嗎?
- 11. 在數據庫上直接處理大量數據是個好主意嗎?
- 12. 在Javascript中是一個異步類是一個好主意嗎?
- 13. Ajax keep = alive是個好主意嗎?
- 14. 散列Python類是個好主意嗎?
- 15. django:是@csrf_exempt一個好主意嗎?
- 16. 使用boost :: any是個好主意嗎?
- 17. 聚合ViewModels是一個好主意嗎?
- 18. 使用OData是個好主意嗎?
- 19. MySQL外鍵 - 總是一個好主意?
- 20. 在MySQL的一個字段中使用多個FK是一個好主意嗎?
- 21. 目前是否通過跨域AJAX的REST是一個壞主意(2011)?
- 22. 通過過程使用NodeJS全局事件是個好主意嗎?
- 23. 在MySQL中使用時間而不是字符串CURRENT_DATE是個好主意嗎?
- 24. 通過Symfony中的ID刪除單個主義條目
- 25. 唯一標識MySQL條目
- 26. 寫我自己的MySQL庫?這是個好主意嗎?
- 27. 使用MySQL和Neo4j是一個好主意嗎?
- 28. 通過websocket推送圖像是不是個好主意?
- 29. 在STMTVar中有一個整數是個好主意嗎?
- 30. 在一個方法中調用viewdidload是個好主意嗎?
下面是@tadman的出色答案。同樣重要的是,不要相信客戶未經驗證就發送迴應用程序的這樣的ID。如果客戶端說「刪除消息256512」...不這樣做,沒有驗證客戶端應該確實被允許請求刪除該消息。經典n00b錯誤。客戶永遠不會被信任。 –