0

我对 RequestFactory 的内部结构有一定的了解,但现在我正在围绕它实施安全策略,我没有看到太多关于这个主题的文献。我对 RequestFactory 正在使用的客户端代理 ID 的安全性特别感兴趣。例如,我的数据库中一个对象的 id 可能是32,但 RequestFactory 可能会将该 id 称为Qkjnsd89urknasj3或其他东西。

有人凭空生成我的一个对象的有效 ID 有多难?这些 id 是如何产生的?

任何信息表示赞赏,谢谢。

4

1 回答 1

3

它们不安全,它们是 base64 编码的。这是为了确保无论您在密钥中使用哪种数据,它都可以将其转换为真正的密钥。

因此,不允许仅基于实例的 ID 自由和开放地访问对象,而是有某种逻辑来检查当前用户是否可以查看记录。或者使 ID 不可预测,并且 ID 空间足够大,以至于随机猜测会让你无处可去。但即便如此,当 RF 引用它们时,这些密钥也会被 base64 编码。

于 2012-04-20T04:05:34.530 回答