Eri*_*ner 9 mongodb
我正在设计一个与MongoDB交互的API.
现在的问题是,如果使用原始ObjectID来查询对象等是安全的.在直接使用OID时(例如在查询中)是否会出现任何安全问题,还是应该在它们离开我的服务器环境之前加密/解密它们?
Rem*_*ius 11
在这里查看BSON对象ID规范,您将知道它是否安全.
如果你试图保护用户从脚本(fuskators)发送不同的URL,那么对我来说它的安全性很弱.不会有太多'机器','pid'部分组合.'time'部分可以计算攻击者是否可以了解数据是如何插入的(特别是如果使用批处理).'inc' - 非常弱.
我不会相信ObjectID是唯一的安全性.
请注意,对于"一般来说是否安全"这个问题,无法找到正确的答案.你必须自己决定.
PS.但请记住,当用户共享他们访问过的网址时,这种基于URL的安全性将会陷入困境.即使是最好的加密也无济于事.
归档时间:
13 年,6 月 前
查看次数:
2148 次
最近记录: