0
我正在使用延续令牌遍历DocumentDb中的结果集,我的意图是通过HATEOAS链接公开延续令牌和最小/最大页面,以便用户可以通过HATEOAS链接贯穿其所有结果。通过返回持续令牌或页面ID是否存在潜在的安全风险?我应该混淆它们吗?我宁愿将所有会话状态保留在宇宙数据库中,也不要将结果存储在其他地方用于分页。Azure DocumentDb延续令牌
A
回答
1
通过返回连续令牌或页面ID是否存在潜在的安全风险?
在我看来,公开令牌不会导致安全问题。 continuation token与authorization token不同,当除了响应中返回的结果之外还有其他结果时,将从查询返回连续令牌,通常,客户端使用来自先前查询的连续令牌恢复查询执行以获得额外结果,以及持续令牌从以前的查询返回的数据不能与其他查询一起使用。如果客户端只获得延续令牌,但没有有效的授权令牌并且不知道查询,则客户端无法通过该延续令牌获得结果。
相关问题
- 1. 什么是DocumentDb中延续令牌的寿命
- 2. DocumentDB存储过程延续
- 3. Windows Phone上的Azure ACS令牌续订
- 4. DocumentDB通过继续令牌进行分页效果不佳
- 5. Azure DocumentDB:有效期限后的资源令牌保持有效
- 6. Azure Active Directory令牌+刷新令牌
- 7. Azure DocumentDB和Azure Blob存储
- 8. Azure表查询异步 - 持续令牌始终返回
- 9. Azure DocumentDB空处理
- 10. 什么是Azure DocumentDB限制?
- 11. 使用java访问Azure documentDB
- 12. 如何与Azure的DocumentDB
- 13. 具有Azure函数的DocumentDB
- 14. Azure DocumentDB限制请求
- 15. 查询时刻的延迟令牌
- 16. 'offline_access'OAuth令牌持续多长时间?
- 17. Facebook访问令牌持续过期c#
- 18. OAuth和访问令牌持续问题
- 19. 在线Microsoft Dynamics CRM - 续订令牌
- 20. Android中的Oauth2刷新令牌续订
- 21. 取消令牌如何停止继续?
- 22. azure-ad-jwt它如何验证令牌
- 23. Azure的广告访问令牌澄清
- 24. 获取令牌以访问Azure资源
- 25. 丰富的Azure ACS安全令牌
- 26. Azure AD B2C OpenID Connect Refresh令牌
- 27. Java Azure SB与SAS令牌的连接
- 28. Azure Web API的身份验证令牌
- 29. 获取Azure的访问令牌德云
- 30. Azure AD B2C未返回刷新令牌
很好,我很担心暴露最小/最大值,也许我应该只是混淆这些,我这是他们指向一个特定的文件。但是,就你而言,他们需要授权令牌才能查看页面,只要这是从未提供的,应该是安全的。我可能会选择混淆来隐藏实现。 – Creamstout10