我最近被告知,在URL中使用mongodb _id字段是不安全的。我想知道这是否属实。ID(来自mongo的ObjectIds)可安全地在URL中使用吗?
我的网站仅限注册用户,并且每个用户的网址端点都包含来自mongo的ID。这是典型的mongodb _id字段 - 一个SHA1。 AFAIK,这个id是不可猜测的,即使有人碰到别人的id,基于会话的身份验证在我的应用程序中也不允许访问。除应用程序本身之外,没有人可以直接访问数据库。
我很想知道是否有什么我失踪。
编辑:澄清的问题。 (mongodb ObjectIDs不是SHA1)
相关:http://stackoverflow.com/questions/9452786/mongo-objectids-safe-to-use-in-the-wild?rq=1 http://stackoverflow.com/questions/11577450/are- mongodb-ids-guessable – Thilo 2016-09-30 00:21:24