Использование пользовательского идентификатора пользователя и Mongo Object_Id
(только начал кодить год назад и до сих пор в восторге от того, насколько круты люди в StackOverflow :))
Во всяком случае, в моей предыдущей работе мы использовали пользовательские UUID для userId в бэкэнде вместо автоматически сгенерированных идентификаторов mongo Object ID.
Тогда я думал, что это связано с возможными проблемами безопасности при раскрытии их через URL-маршруты. Тем не менее, я не могу понять, насколько это менее безопасно, чем раскрытие пользовательских идентификаторов. Хакеры могут взять мою базу данных?
Может ли кто-нибудь пролить свет на передовой опыт в этом отношении?
Спасибо!
Ответы 1
ObjectIds ни в коем случае не менее безопасны, чем, скажем, UUID.
Они несут часть временной метки, поэтому, если вы предоставите идентификатор объекта, клиенты могут узнать время генерации этого идентификатора. Но:
- Это предполагает, что вы используете схему генерации по умолчанию. Некоторые реализации генерируют полностью случайные идентификаторы объектов (и поэтому значение метки времени является фальшивым)
- Я не могу придумать, как злонамеренный клиент может использовать это для чего-нибудь.
Спасибо, Серджио! Я изучу различные генерации схемы Obj_id и буду использовать их !!