我有一个带有复合键的多租户数据库
clientId - docId
路由看起来像这样
/api/controller/clientId/docId
对于身份验证,我使用"全局"用户名,例如电子邮件+密码,通过https在每个请求的http-header中发送.用户名明确映射到客户端,并在后端可用.
有什么方法可以正确地进行休息并获得最佳安全性?
要么
如下所示更改路由并在保存记录之前从数据库获取clientId?
/api/controller/docId
这可能是一个显而易见的问题,但我担心潜在的安全问题.或者使用较短的路由只是一个明智的选择?
谢谢!