我一直想知道这件事。
我们说我有一个网络应用程序
www.example.com
如果该应用程序有n个用户,那么每个人是否可以只使用URL登录?
E.g。要让用户1访问他们的应用程序部分,他们将访问
www.example.com/user/1
在上面的例子中,很容易猜到URL方案。
但如果不能轻易猜到怎么办? 例如。要让用户1访问他们的应用程序部分,他们将访问
www.example.com/user/ [random string]
这些随机网址是否可以发现?
随机URL的含义是包含很长字符串的随机字符。如果使用此URL作为密码,则很难猜测。
其次,一个更实际的问题 - 可以假设没有其他人可以访问他们的部分应用程序吗?
或者另一种询问方式是,猜测随机字符串是访问某人应用程序的唯一方式吗?
以这种方式设计应用程序的动机是不需要登录/注销。
由于
答案 0 :(得分:-1)
即使您使用随机字符串代替用户ID,仍然存在同样的问题。如果有人猜测或以某种方式检索另一个用户的随机数,他或她仍然可以访问它。
你所尝试的是通过默默无闻的安全。基于隐藏或模糊敏感数据的整体安全性并不是一个好的计划。
这些随机网址是否可以发现?
搜索引擎可以发现?这取决于您的网站设置。 无障碍?是。
可以假设没有其他人可以访问他们的部分应用程序吗?
我不确定你的意思,你将澄清这一部分。