我对RequestFactory的内部有一个适度的理解,但现在我正在围绕它实施一个安全策略,我没有看到很多关于这个主题的文献。我对RequestFactory正在使用的客户端代理ID的安全性特别感兴趣。例如,我的数据库中的对象id可能是32,但RequestFactory可能将id称为Qkjnsd89urknasj3或其他内容。
有人从空气中生成我的一个物体的有效身份有多难?这些ID是如何生成的?
感谢任何信息,谢谢。
答案 0 :(得分:3)
它们不安全,它们是base64编码的。这是为了确保无论您在密钥中使用何种数据,它都可以将其转换为真正的密钥。
因此,不允许仅基于实例的ID对对象进行自由和开放访问,而是使用某种逻辑来检查当前用户是否可以查看记录。或者使ID不可预测,并且ID空间足够大以至于随机猜测将使您无处可去。但即便如此,当RF引用它们时,密钥将被base64编码。