我的问题很简单。
我目前正在使用identity2在asp.net mvc5中开发一个社交平台。
例如,如果我创建消息系统并希望向特定用户发送消息,那么在表单发布中将接收者的用户标识视为违反安全性吗?
另一个例子可能是访问个人资料时网址中的用户ID,或者是/uploads/useridofvisiteduser/images/guid.ext等个人资料图片的路径。
我项目中的所有userId都是guid而不是整数值。
以这种方式公开用户ID是否被视为违规?
答案 0 :(得分:0)
如果您在服务器端处理不可接受的值,请不要。 例如,如果您收到messageId删除邮件,则必须获取当前登录用户,以确保他正在删除自己的邮件,而不是发布其他人要删除的邮件ID。
但以防您可以使用加密。 首先对数据进行加密,然后对结果进行url编码,并在接收端(服务器端)进行反向。