考虑到有一个多租户平台,用户可以查看他们所属的组织拥有的所有资源,并且无法查看任何其他组织的资源。如果所有资源UUID都是使用确定性UUID并使用其所有者组织的UUID作为其命名空间生成的,那么是否可以仅使用组织UUID,资源的UUID和确定性UUID方法来确定任何资源的所有者组织?
我从高度确定性的比特币钱包中引出了这个想法,其中初始私钥用于生成钱包中的所有后续私钥(可能是不正确的释义),因此您始终可以再次生成相同的私钥。只是原来的。
答案 0 :(得分:1)
通常,多租户环境具有比仅拥有者组织UUID更强的租户隔离。通常,UUID值具有非确定性组件。如果您正在使用确定性UUID,则有人可以推断出另一个所有者组织的价值。那时看起来似乎是确定性的UUID = int identity。如果攻击者可以指定UUID值,则它们将是易受攻击的。
你可能提出的问题是,不显眼是否能提供保护。虽然显眼可能会让你背上更大的目标,但随意不显眼的人总是会被盗。真正的安全性是密钥而非算法。