我正在使用延续令牌来迭代DocumentDb中的结果集,我的意图是通过HATEOAS链接在其余API上公开continuation token和min / max页面,这样用户就可以运行所有他们的结果。通过返回延续令牌或页面ID,是否存在潜在的安全风险?我应该混淆他们吗?我更希望将所有会话状态保留在cosmos db中,而不是将结果存储在其他地方以进行分页。
答案 0 :(得分:1)
通过返回延续令牌或页面ID,是否存在潜在的安全风险?
在我看来,暴露延续令牌不会导致安全问题。 continuation token与authorization token不同,当除了响应中返回的结果之外还有其他结果时,会从查询返回延续令牌,通常客户端使用上一个查询中的延续令牌恢复查询执行其他结果和从上一个查询返回的延续令牌不能与其他查询一起使用。如果客户端只获得延续令牌但没有有效的授权令牌且不知道查询,则客户端无法通过该延续令牌获取结果。