我有一个NodeJS应用程序,用户可以在其中上传其个人资料图片。我正在使用passport.js和会话来对每个用户进行身份验证,这将为用户提供其无用的用户ID(存储在mongodb中而不是会话中)。我将此唯一ID客户端作为JavaScript变量发送。然后,当他们请求更改个人资料图片时,客户端将此ID发送到处理上传新个人资料图片的代码,并将他们上传的图片存储在此唯一ID下(以跟踪哪个用户对应于哪个个人资料图片) )。
我担心的是,如果这些用户ID未被保密,某人可以登录自己的帐户,然后使用其他人的ID请求将他们上传的图片保存在其ID下,从而有效地更改了其他用户的个人资料图片。这是可以接受的,还是我做错了什么?有没有更安全的方法来执行此操作,或者我不应该担心,因为用户ID是随机且不可猜测的?