例如,我的mysql表用户中有一个字段user-id,用于唯一标识用户。如果有人请求例如用户的朋友列表我返回一个json数组,其中包括每个朋友的用户ID和其他数据,如姓名。
所以我的问题是将这些用户ID直接发送到客户端是否是一个好主意。这是不安全的吗?有没有办法隐藏身份证?
此致
答案 0 :(得分:1)
这取决于从您的应用程序泄漏ID信息是否是一个严重问题。如果您处于竞争激烈的业务中,了解系统中的用户数量是有价值的信息,或者您担心有人可能会依次单步执行这些操作来系统地下载数据库,那么加扰它们会有所帮助。
使用加密随机标识符或UUID是解决此问题的两种常见方法。一个真正随机的标识符提供了更多的安全性,但需要更加谨慎地构建,因为有很多方法可以解决这个问题。
值得注意的是,Stack Overflow等网站会泄露用户ID,因为隐藏它们没有任何价值。例如,您的个人资料链接中包含用户ID:2441032。